Update van jouw FG

Hieronder volgen enkele belangrijke en handige updates vanuit jouw Functionaris Gegevensbescherming! Als je naar aanleiding hiervan vragen of opmerkingen hebt, neem dan contact met ons op.

Bewustwording rondom AVG en informatiebeveiliging

Ieder schoolbestuur of samenwerkingsverband hanteert haar eigen aanpak en snelheid bij de implementatie van de AVG. Dat is prima uiteraard, maar het is verstandig om de vaart erin te houden. Jouw FG zal je daarbij helpen en je tegelijkertijd daar scherp in houden.

Naast de instrumentele AVG-aanpak (zoals beleid, register en protocollen), is het informeren van personeel (leraren en ondersteunend personeel) erg belangrijk. Immers: bewustwording rondom de risico’s van de verwerking van persoonsgegevens zorgt voor verandering in gedrag. Van daaruit volgen instructies over ‘hoe te handelen in uiteenlopende AVG gerelateerde situaties’. Wij denken daar graag over mee en staan stand-by voor tips en adviezen.

In het nieuws: beveiliging leerling(volg)systemen

In het onderwijs worden diverse leerlingvolgsystemen gebruikt (o.a. Magister en Parnassys). Onlangs verscheen in de pers een bericht dat Magister jarenlang slecht bleek te zijn beveiligd. E-mails die vanuit het programma worden verzonden, waren tot voor kort niet versleuteld. Ontwikkelaar Schoolmaster heeft inmiddels actie ondernomen en het lek gedicht. Meer weten? Lees dit bericht in Trouw.

Reglement FG

De FG kan zijn taak alleen goed uitoefenen als ons FG reglement is ondertekend door de CvB en naar ons is teruggestuurd. Eerder heb je deze al ontvangen. Hierin staan de taken en bevoegdheden van de FG opgenomen. Als je dit nog niet gedaan hebt, doe dat dan zo snel mogelijk.

Bereikbaarheid FG

Ouders en betrokkenen moeten makkelijk en snel klachten, vragen en opmerkingen rondom privacy aan de FG kunnen melden. De FG moet vanuit iedere locatie (dus ook iedere school) goed bereikbaar zijn. Hiervoor hebben wij een webformulier ontwikkeld en op de betreffende websites geplaatst kan worden. De link naar dit formulier: https://www.lumengroup.nl/contact-fg/

Ronde tafel AVG voor samenwerkingsverbanden

Op 30 november organiseert Lumen Group samen met Privacy People een ronde tafel, speciaal voor samenwerkingsverbanden. Vooral met als doel van elkaar te leren en om te voorkomen dat niet iedereen ‘het wiel zelf gaat uitvinden’. De samenwerkingsverbanden in ons netwerk worden hier nog apart over geïnformeerd. De bijeenkomst is gratis voor onze abonnementhouders en geïnteresseerden.

Beveiligingsincidenten en datalekken melden

De FG wordt graag zo snel mogelijk geĂŻnformeerd zodra zich een beveiligingsincident heeft voorgedaan. Een beveiligingsincident kan een datalek zijn, maar dat hoeft niet altijd. Wij bespreken dit graag met jou en bedenken met elkaar hoe het beste te handelen. Wij hebben als FG inmiddels al een paar datalekken bij klanten onderhanden. De ervaring leert dat elkaar snel informeren van belang is om ernstige gevolgen te voorkomen.

Tot ziens op juridisch congres Verus?

Veel van onze abonnementhouders zijn lid van Verus. Donderdag 11 oktober organiseert Verus een juridisch congres in Baarn. Lumen Group is daar ook aanwezig, je herkent ons aan onze banner met logo. Als je vragen hebt over onze FG diensten of onze e-learning, spreek ons gerust even aan!

Lumen Group te gast bij BNR Juridische Zaken

Luister hier de uitzending van 22 mei 2018 met Paul van Liempt en onze Managing director Stijn Sarneel.

Over de grootste pijnpunten gaan Christiaan Alberdingk Thijm, privacyadvocaat van Bureau Brandeis, Stijn Sarneel van consultancybedrijf Lumen Group en voorzitter van de Vereniging van Compliance Professionals en David de Nood, secretaris van MKB Nederland met elkaar in gesprek.

 

 

26 mei 2018. En wat daarna te doen?

Wat gebeurt er op 26 mei 2018, de dag nadat de AVG/GDPR van toepassing wordt in de EU (te weten 25 mei 2018)?

Goede antwoord: vrij weinig, het is dan zaterdag….. Toch is dit een vraag die vaak door klanten aan ons wordt gesteld en als wij een presentatie geven over de AVG/GDPR.

Ons eerste antwoord is dat deze datum slechts de eerste mijlpaal is voor organisaties richting een structurele implementatie. Immers, de AVG/GDPR is geen ‘2000- milleniumbug’ maar is ongoing. Organisaties veranderen zelf, wetgeving verandert en er komen meer interpretaties, rechterlijke uitspraken en ‘best practices’. Dit leidt steeds tot aanpassingen in de bedrijfsvoering en nieuwe vraagstukken. Deze uitdagingen moeten op multi-disciplinaire wijze worden aangegaan.

Los van de wetgeving wordt het publieke- (en politieke)bewustzijn ten aanzien van privacy en data protection in de loop der tijd steeds sterker. Dit zal wellicht een nog grotere driver zijn voor organisaties om transparant en integer te handelen t.a.v. persoonsgegevensverwerkingen, dan de wet zelf.

‘GDPR Emergency toolkit’

Organisaties die aan de slag zijn gegaan met quick fixes, window dressing, en op de markt verkrijgbare ‘emergency toolkits’ en dus ad-hoc implementeren, komen na verloop van tijd in het gedrang. Partijen die vanaf het begin af aan voor een structurele aanpak zijn gegaan, kunnen zich gaan onderscheiden in de markt.

Extern toezicht

De toezichthouder Autoriteit Persoonsgegevens (AP) is op 26 mei 2018 qua personeel mogelijk verdubbeld. De verwachting is dat er steeds meer onderzoeken komen en dus ook sancties. De AP zal een groeiproces gaan meemaken. De invloed van de toezichthouder zal toenemen. Het uiteindelijke draagvlak van dit externe toezicht op langere termijn hangt af van de opvattingen van het publiek over privacy en van de (Europese) politiek. Ook deze opvattingen zullen aan schommeling onderhevig zijn, waarbij incidenten steeds de roep om meer toezicht zullen vergroten.

Verstandige bedrijven en organisaties wachten deze ontwikkelingen niet af. Zij kennen hun risico’s, bekijken de context en hun strategie en zien 25 mei 2018 slechts als een datum in hun duurzame ontwikkeling.

Wat daarvoor nodig is te lezen in onze voorgaande blogs op deze website.

Lumen Group in diverse tijdschriften

Lumen Group is in december 2017 en januari 2018 in diverse tijdschriften verschenen. Dit zijn o.a. de Executive Finance en Leadership.nl. Hieronder heeft u toegang tot de artikelen in beide tijdschriften.

NCD Leaderhip.nl:

http://leadershipnl.ncd.nl/connected#!/privacywetgeving

Excecutive Finance

 

Is angst voor hoge AVG / GDPR boetes terecht?

In artikelen, presentaties en publicaties waar de GDPR / AVG wordt besproken, wordt vaak (te) snel gewezen op de nieuwe boetemogelijkheden van de Autoriteit Persoonsgegevens (AP). Wie de GDPR / AVG overtreedt loopt vanaf 25 mei 2018 het risico op een boete van maximaal 20 miljoen euro, of – indien hoger – 4 procent van de jaarlijkse wereldomzet. Dit zijn hoge boetebedragen die angst kunnen inboezemen. Maar is deze angst terecht?

Vanuit Lumen Group denken wij altijd eerst vanuit overzicht en inzicht in de regels (context) en bepalen vandaaruit wat de acties zijn (en of angst in dit geval de beste raadgever is).

Tijd dus om een blik te werpen op de boete-opleggingscriteria die de GDPR / AVG bevat en naar de guidelines die hierover in oktober 2017 zijn verschenen vanuit de Europese toezichthouders (WP 29 Werkgroep). We pakken er een paar in het oog springende zaken uit.

Beperkte capaciteit AP

De kans op een onderzoek van de AP bij uw organisatie is (nog) niet heel groot. Immers, de omvang van bedrijven en organisaties als scope van de AP die aan de nieuwe regels moeten voldoen is enorm. De toezichts-capaciteit van de AP groeit snel, maar is nog niet voldoende op sterkte. Er zullen dus prioriteiten worden gesteld waar de AP zich op richt. Dit maakt de ‘pakkans’, en dus het risico op een boete, voorlopig relatief klein.

Andere handhavingsmiddelen dan boetes

Boeteoplegging is niet het enige handhavingsmiddel dat de AP kan hanteren. Er is een hele set aan (in)formele correctie / sanctiemiddelen. Hierbij valt te denken aan waarschuwen, berispen, geven van reprimandes en het opleggen van een verwerkingsverbod. De toezichthouder zal steeds per omstandigheid moeten bekijken welk middel het meest geschikt is haar doelen te bereiken. Boeteoplegging is daarbij dus slechts Ă©Ă©n van de mogelijkheden.

Boete-criteria uit de AVG/GDPR

Voordat de AP overgaat tot boeteoplegging zal zij steeds een zorgvuldige afweging moeten maken gebaseerd op de in het voorafgaande onderzoek verzamelde feiten. De AP legt de feiten naast een aantal (wettelijke) criteria en bekijkt dit in onderlinge samenhang. Dit leidt tot een besluit tot al dan niet boeteoplegging. Dezelfde criteria worden gebruikt om de hoogte van de boete te bepalen. Zonder daarbij volledig te zijn, springen een aantal criteria in het oog die door de AP allemaal worden meegewogen in haar totaaloordeel:

  • het aantal getroffen betrokkenen (b.v. door een datalek) en de omvang van de door hen geleden schade (dit kan overigens ook niet-financiĂ«le schade zijn). Dus; hoe groter de schade en het aantal getroffen personen, des te groter de kans op boeteoplegging, dan wel kans op een hoge boete.
  • de opzettelijke of nalatige aard van de inbreuk. Dus; opzettelijkheid of nalatigheid in het handelen wegen zwaar.
  • de genomen maatregelen om de door betrokkenen geleden schade te beperken. Zijn er vooraf voldoende (beheers)maatregelen genomen om te voorkomen dat onjuist werd gehandeld? Als dit laatste wel het geval is dan is er sprake van slechts een incident. Is dit niet het geval dan is er structureel niets ingeregeld en is de kans op een boete groter.
  • eerdere relevante inbreuken. Is er vaker iets soortgelijks voorgekomen dan is dit een verzwarende factor voor boeteoplegging, dan wel voor de hoogte van de boete.
  • de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken.
  • de categorieĂ«n van persoonsgegevens waarop de inbreuk betrekking heeft. Als het betrekking heeft op bijzondere persoonsgegevens zoals gezondheidsgegevens is dit een verzwarende factor.

Als niet naar de DPO / FG wordt geluisterd
.. 

In de lijst van gezichtspunten van de WP 29 wordt genoemd dat een organisatie eerder een boete krijgt als zij welbewust de adviezen van haar Data Protection Officer / Functionaris Gegevensbescherming in de wind slaat. Op zich is dat een vanzelfsprekende gedachte, want een organisatie die willens en wetens de AVG/GDPR schendt, handelt kwalijker dan de organisatie die uit onwetendheid de spelregels overtreedt.

Conclusie

Bovenstaande leidt wat ons betreft tot de conclusie dat het zaak is jezelf niet vooraf angst te laten inboezemen door de boete-opleggingsmogelijkheden van de AP. Wel is het raadzaam om vooraf voldoende (beheers)maatregelen te nemen om zo veel mogelijk buiten het bereik van de AP te blijven voor wat betreft boete-opleggingen. U kunt uiteraard Lumen Group benaderen voor een advies hierover.

Hoe uw DPO de hoge verwachtingen wel inlost ! (Deel 3 / 3)

Functie DPO/FG wordt onderschat! Juiste competenties zijn gevraagd.

Afgelopen weken zijn er twee delen verschenen waarin wij als Lumen Group ingingen op de vraag waarom de Data Protection Officer (DPO) / Functionaris Gegevensbescherming (FG) de verwachtingen wél gaat inlossen! In Deel 1 hebben wij stilgestaan bij de uitdagingen die de DPO/FG komende tijd aan moet gaan en hoe hij daarbij geholpen wordt door enkele wettelijke bepalingen in de AVG/GDPR. Daarna hebben wij in Deel 2 een uitstap gemaakt naar een enigszins vergelijkbare functie met de DPO/FG, namelijk die van de Compliance Officer. We hebben toen bekeken wat de DPO/FG van deze functie kan leren. In dit laatste deel 3 gaan we in op de vraag wat voor soort competenties de DPO/FG moet bezitten om deze functie succesvol te vervullen.

Belang van kennis en ervaring

Kennis van privacy / data protectie en de AVG/GDPR is ons inziens slechts een randvoorwaarde voor het zijn van een goede DPO/FG. Veelal wordt deze kennis aangetoond door een behaald certificaat bij een van de (vele) opleidingsinstituten die hiervoor in Nederland actief zijn. Er zijn opleidingen voor bijvoorbeeld privacy jurist, DPO/FG of projectleider dat in veel gevallen wordt afgesloten met een toets en een certificaat.

Vanuit Lumen Groep spreken wij veel professionals die zich ook bij ons aanbieden. Professionals met een diverse achtergrond en ervaring zonder privacy-compliance ervaring hebben, maar wel met een dergelijk certificaat. Onze constatering is dat een certificaat een persoon niet meteen tot een goede DPO/FG maakt.

Vaak komen wij in onze praktijk (maar ook bij opdrachtgevers) nog veel personen tegen die het ‘vak’ van DPO/FG onderschatten en niet verder kijken dan alleen een certificaat.

Waarom zijn deze opleidingen alleen dan niet genoeg? De aangeboden opleidingen zijn vaak puur op kennis gericht en worden soms op een vrij schoolse wijze getoetst. Aandacht voor de benodigde competenties op de werkvloer binnen het speelveld van de DPO/FG is er in zo’n opleiding vaak slechts beperkt. Uiteraard zijn er ook enkele opleidingen waar dit beter verzorgd is. Om privacy professional te zijn of te worden en het vak te beheersen komt er Ă©cht meer bij kijken dan alleen het behalen van een certificaat. Dit is namelijk een dosis privacy- compliance ervaring (vlieguren) en de juiste competenties.

Benodigde competenties voor de DPO/FG

De DPO/FG heeft een centrale rol binnen de organisatie. Persoonsgegevens worden bijna overal verwerkt en dus zal de DPO/FG  verbinding moeten maken met collega’s binnen de gehele organisatie. De aanpak voor de AVG/GDPR is daarmee per definitie multidisciplinair. Dat vergt de juiste competenties van de DPO/FG. We kunnen binnen dit bestek niet alle benodigde competenties benoemen. Wij lichten er een paar belangrijke uit vanuit onze eigen AVG/GDP privacy-compliance ervaring.

Lef: de durf om iets te vinden en ergens op af te stappen en mensen daar eventueel op aan te spreken terwijl er weerstand is te verwachten. Prima is ook de durf te hebben om op ‘een sinaasappel kist te gaan staan’ en het belang van privacy / data protectie te verkondigen. Geef presentaties over situaties die op de werkvloer gebeuren en zo concreet mogelijk zijn. Hierdoor sluit de DPO/FG aan op de belevingswereld van collega’s. Discussies over het belang van de AVG/GDPR gaat de DPO/FG uiteraard niet uit de weg.

Inlevingsvermogen en verbinding: De DPO/FG moet zich goed kunnen verplaatsen in de business en de belangen van collega’s. Wat zijn hun gevoelens, houding en motivatie? Hiervoor gaat de DPO/FG in dialoog en legt overal zijn oor te luister om te begrijpen. Ook bij het hoogste management want zonder hun sponsorship wordt het een hele lastige opgave de gestelde doelen te bereiken in de organisatie. Risico van onvoldoende verbinding met collega’s en de business is dat de standpunten die een DPO/FG inneemt te ver afstaan van de daadwerkelijke business. Gevolg is dat de standpunten dan niet of onvoldoende worden opgevolgd. De DPO/FG is dan dus niet effectief. Het is ook niet verstandig in dit verband om steeds op alle slakken zout te leggen. Onervaren DPO/FG’s kunnen dit nog weleens doen. Veel verstandiger om serieus genomen te worden is om een tactiek te hanteren ‘to pick your battles’ en flexibel te zijn om op deze wijze je doelen toch te kunnen bereiken.

Doorzettingsvermogen en optimisme: De rol van de DPO/FG is voor veel organisaties nog nieuw dus men moet er nog aan wennen. Ondanks dat de DPO/FG overal bij wil zijn en zich zichtbaar wil maken, zal de DPO/FG merken dat er toch nog veel zaken gebeuren waar hij/zij (onbewust dan wel bewust) niet voor wordt uitgenodigd of geraadpleegd. Ook kan het zijn dat de privacy / data protectie argumenten terzijde worden geschoven ten behoeve van het commercieel belang. Dit kan de DPO/FG persoonlijk aangrijpen en zijn inzet voor zijn gevoel soms nutteloos maken. Daar moet de DPO/FG tegen kunnen en als optimist vervolgens met frisse moed weer doorgaan op zijn missie.

Hulp van buiten bij vinden geschikte DPO/FG

Niet iedereen is geschikt is voor de functie van DPO/FG. Het is geen rol die je vervult omdat je het laatste wegdook toen er een dergelijke functionaris benoemd moest worden. Uit ervaring weten wij dat het uitdagend is de juiste persoon hiervoor te vinden met de juiste kennis, competenties en ook nog als persoon past binnen uw organisatie.

Grote organisaties kiezen er vaak voor om zelf een DPO/FG aan te nemen. Voor kleinere organisaties is het interessant om deze functionaris tijdelijk in te zetten en/of om via een abonnement gebruik te maken van DPO/FG-diensten. Lumen Group voorziet in deze mogelijkheden:

Neem graag contact op dan kunnen we bespreken wat passend is voor uw organisatie.

GDPR / AVG? Ik bel mn advocaat !

Het implementeren en toepassen van de nieuwe privacy verordening AVG / GDPR die per 25 mei 2018 van toepassing wordt, is impactvol voor veel bedrijven en organisaties. In inventariserende gesprekken die wij als gespecialiseerde consultancy partij voeren horen wij nog vaak. “Ja, ik heb gehoord van de nieuwe regels, ik zal onze advocaat eens bellen” of “onze advocaat adviseert ons hierbij.” Hieronder is beschreven waarom er meer moet gebeuren dan alleen u advocaat bellen.

Het kan natuurlijk een goede eerste stap zijn om u te laten informeren door uw advocaat. Immers, zij kennen de wetteksten en helpen uw bedrijf vaak goed. Ook door het opstellen of aanpassen van bijvoorbeeld (bewerkers-) overeenkomsten kan een advocaat prima werk doen. Bovendien wordt niet ieder bedrijf even hard geraakt door deze nieuwe verordening en hoeft er dus ook maar weinig aan te worden gepast in de bedrijfsvoering. Dit geldt vooral voor kleine bedrijven of organisaties die geen of slechts beperkt persoonsgegevens verwerken.

Zelf aan de slag; u kent de risico’s

Het raadplegen van uw advocaat is echter te weinig als u zelf niets doet.

Als u geraakt wordt door de AVG / GDPR dan moet u echt zélf aan de slag. Het is geen papieren exercitie op afstand.

Uw aanpak dient volgens de verordening risico-gebaseerd te gebeuren. U dient uw verwerkingen van persoonsgegevens in processen en systemen in kaart te brengen en bijbehorende risico’s hiervan te identificeren en te managen. Daar waar de risico’s het grootst zijn, neemt u maatregelen zoals het uitvoeren van een Privacy Impact Assessments of het versterken van de informatiebeveiligingsprotocollen. Uw medewerkers dient u hierin uiteraard goed mee te nemen.

Samenspel van disciplines is nodig

Het implementeren van de nieuwe verordening dient op multidisciplinaire wijze te gebeuren. Het juridisch perspectief is daarvan een onderdeel. Samenwerking dient te worden gezocht met de business en met IT. Een projectleider zal voor de implementatie deze drie disciplines samen brengen en tot een plan moeten komen. Met een dergelijke aanpak kunnen structurele maatregelen worden getroffen waar iedereen bij betrokken is. Juist dit structurele karakter is van belang. Immers, de AVG/ GDPR is niet iets eenmaligs, het blijft aanwezig in uw organisatie of bedrijf ook na 25 mei 2018.

Juist het samen ‘doorleven’ van de gestelde regels en het bepalen van de impact hiervan is waarde-toevoegend. Het sluitstuk van de reis is dan vervolgens een kort en concreet beleid en getroffen maatregelen die daadwerkelijk gedragen en toegepast worden.

Aantoonbaarheid uit de AVG/GDPR
Een van de leidende beginselen van de nieuwe EU Verordening voor Privacy en Data Protectie is accountability. Ofwel; verantwoording kunnen afleggen aan de buitenwereld over hoe wordt omgegaan met persoonlijke data van personen (o.a. klanten en burgers). De AVG / GDPR legt heel nadrukkelijk een verantwoordelijkheid neer bij het bedrijf of de organisatie om aan te tonen dat zij de belangrijkste risico’s in kaart heeft en passende maatregelen heeft genomen om dit te beperken. Als dit niet op orde is kan de Autoriteit Persoonsgegevens boetes opleggen.

DPO/FG

Om deze aantoonbaarheid doorlopend te kunnen realiseren kan een Data Protection Officer, ofwel in het Nederlands, een Functionaris Gegevensbescherming hierbij een belangrijke rol spelen. In veel gevallen is een dergelijke functionaris ook verplicht om te hebben per 25 mei 2018. De functie dient goed in de besturing en governance te worden ingeregeld. Uiteraard kan op papier een statuut worden opgesteld, maar het gaat erom dat deze functionaris verbinding heeft met het bedrijf of organisatie en tegelijkertijd op onafhankelijke wijze kan acteren. Deze schijnbare tegensteling moet worden uitgelegd aan de medewerkers en de directie. Als dit niet goed gebeurt zal de DPO namelijk al snel zelf verantwoordelijk worden gehouden voor alles wat met privacy en data protection te maken heeft. En dit beeld moet worden voorkomen en is gevaarlijk. Immers, de gehele organisatie is hiervoor verantwoordelijk.

Achterliggende principes van regels

Als laatste argument om niet een strict en uitsluitende juridische insteek te kiezen voor de implementatie en toepassing van de AVG / GDPR is dat achter deze regels principes liggen die leidend moeten zijn in de discussie. Dit is namelijk de bescherming van klanten en burgers tegen bijvoorbeeld niet integer gebruik van persoonlijke data en voorkomen dat persoonlijke data op straat komen te liggen. De gedachte achter de regel beschouwen, binnen de context van de eigen organisatie, levert pas echt de echte inzichten op die ons verder brengen.

Conclusie: Bovenstaande leidt tot het inzicht dat een bedrijf echt zélf aan de slag moet met de AVG! Mocht u daarbij ondersteuning wensen, neemt u dan graag contact op met Lumen Group.

Hoe uw DPO/FG de hoge verwachtingen wel inlost ! (Deel 2 / 3)

Grote kans dat uw organisatie of bedrijf voor 25 mei 2018 een Data Protection Officer (DPO) moet aanstellen. In het Nederlands heet dit een Functionaris Gegevensbescherming (FG). Deze rol wordt namelijk verplicht gesteld volgens de Algemene Verordening Gegevensbescherming (AVG, in Engels: EU General Data Protection Regulation, GDPR). Overheidsinstellingen en bedrijven die intensief persoonsgegevens verwerken zijn vaak al snel verplicht een dergelijke DPO aan te stellen.

Mits deze DPO functie goed is ingeregeld en juist bemand, kan dit komende tijd weleens een heel waardevol bezit worden voor uw organisatie. De DPO kan uw organisatie zelfs behoeden voor incidenten, boetes, datalekken en bijbehorende reputatieschade.

Artikel-reeks in drie delen

De verwachtingen vanuit de (Europese) wetgever over wat de DPO zou moeten gaan bewerkstelligen, zijn hoog gespannen. De functie wordt stevig neergezet in de wet met allerlei zware taken en bevoegdheden. In drie delen is beschreven waarom de DPO de verwachtingen wél gaat inlossen. U leest nu deel 2.

In Deel 1 was opgenomen welke verwachtingen en daarbij horende uitdagingen op het bordje liggen van de DPO. In dit Deel 2 kijken we naar een enigszins vergelijkbare functie, de Compliance Officer die reeds meer dan 15 jaar in Nederland bestaat. We kijken welke lessen de DPO kan leren van de Compliance Officer om succesvol te zijn. Deel 3 gaat over het inrichten van de DPO functie en het vervullen van de functie door de juiste persoon.

Deel 2: Wat kan de DPO van de Compliance Officer leren?

 Les 1: Kies de juiste risicobenadering

De AVG kent een nadrukkelijke risico-insteek. Dit betekent dat vooral bescherming van die persoonsgegevens daar wordt verwacht, waar de risico’s het grootst zijn. De minder grote risico’s worden later beheerst of geaccepteerd. Tevens moet de DPO keuzes maken en prioriteiten stellen vanwege de vaak schaarse capaciteit. Om een goed beeld te krijgen van de risico’s moet eerst in beeld worden gebracht welke risico’s een organisatie ĂŒberhaupt zelf onderkent, welke persoonsgegevens worden verwerkt en hoe dit momenteel worden beheerst.

Veel compliance organisaties hanteren reeds een dergelijke risicogebaseerde insteek en werken daarbij samen met andere risico-afdelingen zoals (Operational) Risk Management binnen een Control Framework met ondersteunende tooling. Een dergelijke aanpak zorgt voor overzicht van de risico’s en een juiste en onderbouwde prioriteitsstelling en inzet van capaciteit. Hierdoor is de organisatie in staat verantwoording af te leggen aan stakeholders zoals externe toezichthouders. Lumen Group heeft veel compliance en implementatie-ervaring en laat u graag een keer zien hoe dit eruit ziet als u hiervan wilt leren.

Les 2: Doe het samen!

Uiteraard moet er een plan komen voor de implementatie van de AVG. De DPO zal daar ook een rol in spelen. Een plan dat gedragen wordt en robuust is. De ervaring vanuit Compliance leert dat je een plan niet alleen maakt, maar dat vooral doet door met andere samen te werken. Vanuit ieder gezichtspunt (dus klant, medewerker, HR, proces(verbetering), IT, directie) is het van belang de juiste mensen aan tafel te krijgen en vanaf het begin af aan deel te laten uitmaken van de reis. Hoe eerder betrokken, hoe eerder men meedenkt over potentiele impact en veranderingen. Ook kunnen zo mogelijkheden en kansen worden gezien die de DPO anders nooit zou hebben gezien. Wij hebben genoeg Compliance Officers gezien die vergaten de rest van de organisatie mee te nemen en snelheid wilden maken en grotendeels deze samenwerking oversloegen. Hier blijft gelden: alleen ga je sneller, samen kom je verder !

Les 3: Principes onderliggend aan de wet zijn leidend

Om aan dit vereiste van accountability invulling te geven hebben velen van ons een natuurlijk reflex om te gaan ‘vinken’ en in dossiers per wetsartikel vast te leggen dat ze voldoen aan de wet. Stempel erop en klaar! We zijn ‘compliant’. Echter, het is de vraag of dit organisaties verder brengt. Bij een dergelijke korte termijn aanpak komen onmiskenbaar de echte vragen van de business pas later over hoe de regels Ă©cht gelezen en toegepast moeten worden. Ons inziens leidt een dergelijke benadering tot dubbel werk. Er lijkt dan geen sprake van een lerende organisatie.

Wat vaak vergeten wordt is dat achter alle regels een gedachte zit die bij een korte termijn aanpak gemist wordt. Dit is namelijk de bescherming van klanten en burgers tegen bijvoorbeeld niet integer gebruik van persoonlijke data en voorkomen dat persoonlijke data op straat komen te liggen. De gedachte achter de regel beschouwen, binnen de context van de eigen organisatie, levert pas echt de echte inzichten op die ons verder brengen. Een voorbeeld is om niet slechts een privacy beleid op te stellen waarin keurig op papier aan alle regeltjes wordt voldaan. Juist het samen ‘doorleven’ van de regels en het bepalen van de impact is waarde-toevoegend. Het sluitstuk van de reis is dan vervolgens een kort en concreet beleid dat daadwerkelijk gedragen en toegepast wordt.

Het komende Deel 3 gaat over het inrichten van de DPO functie en het vinden van de juiste persoon hiervoor. Een passende personele invulling binnen uw organisatie is essentieel om deze DPO rol succesvol te kunnen vervullen. 

Hoe uw DPO de hoge verwachtingen wel inlost ! (Deel 1 / 3)

Grote kans dat uw organisatie of bedrijf voor 25 mei 2018 een Data Protection Officer (DPO) moet aanstellen. In het Nederlands heet dit een Functionaris Gegevensbescherming (FG). Deze rol wordt namelijk verplicht gesteld volgens de Algemene Verordening Gegevensbescherming (AVG; en in Engels: EU General Data Protection Regulation, GDPR). Overheidsinstellingen en bedrijven die intensief persoonsgegevens verwerken zijn vaak al snel verplicht een dergelijke DPO aan te stellen.

Mits deze DPO functie goed is ingeregeld en juist bemand, kan dit komende tijd weleens een heel waardevol bezit worden voor uw organisatie. De DPO kan uw organisatie zelfs behoeden voor incidenten, boetes, datalekken en bijbehorende reputatieschade.

Artikel-reeks in drie delen

De verwachtingen vanuit de (Europese) wetgever over wat de DPO zou moeten gaan bewerkstelligen, zijn hoog gespannen. De functie wordt stevig neergezet in de wet met allerlei zware taken en bevoegdheden. In drie delen, waarvan er komende tijd iedere twee weken een deel verschijnt, is beschreven waarom uw DPO de verwachtingen wél gaat inlossen.

In Deel 1 is opgenomen welke verwachtingen en daarbij horende uitdagingen op het bordje liggen van de DPO. In Deel 2 kijken we naar een enigszins vergelijkbare functie, de Compliance Officer die reeds meer dan 15 jaar in Nederland bestaat. We kijken welke lessen de DPO kan leren van de Compliance Officer om succesvol te zijn. Deel 3 gaat over het inrichten van de DPO functie en het vervullen van de functie door de juiste persoon.

Deel 1: Verwachtingen en uitdagingen voor uw DPO

DPO als aanjager van het privacy belang

Zoals gezegd wordt door de Europese wetgever veel belang toegedicht aan de functie van DPO. De functie lijkt zelfs zo zwaar aangezet dat de DPO, gezien zijn wettelijke taken en bevoegdheden, maar zeker ook door zijn wettelijke bescherming (zie hieronder), een soort aanjager of voorvechter wordt van het privacybelang binnen een bedrijf of organisatie.

De DPO zal onder meer betrokken zijn bij de uitvoering van Privacy Impact Assessments (PIA’s) en het in kaart brengen van een register van alle verwerkingsactiviteiten van persoonsgegevens. Daarnaast heeft hij als uitdagende taak een cultuur te kweken waarin integere gegevensverwerking en transparantie centraal staat. Te denken valt hierbij aan het geven van opleidingen, trainingen en workshops.

Ook zal hij controleren of voldoende invulling wordt gegeven aan allerlei (nieuwe) rechten van burgers en klanten om zijn/haar persoonsgegevens: te vergeten (bv. ‘right to be forgotten’), over te dragen en/of in te zien. De toestemmingsvereisten uit de AVG om persoonsgegevens te mogen verwerken (opt-in) vragen ook aandacht. De DPO is ten slotte contactpersoon richting burgers / klanten en ook de externe toezichthouder (de Autoriteit Persoonsgegevens). Bovenliggend doel van de wet is het beschermen van persoonsgegevens van klanten en burgers door meer transparantie en integere verwerking van de gegevens.

Blatend schaap met vijf poten?

Om dit goed uit te kunnen voeren dient hij onderlegd te zijn in IT, privacywetgeving en de (business) processen om de uitdagingen te kunnen aangaan. Wij weten uit ervaring dat personen die dit alles in zich herbergen niet veel te vinden zijn in Nederland. Vaak ligt de nadruk op een of twee van deze elementen, maar zelden op alledrie. Wordt een schaap met vijf poten gezocht? En hoe groot is het risico dat dit dan een blatend schaap is waar niemand naar luistert?

DPO als countervailing power

Om de functie kracht bij te zetten en de functionaris als ‘countervailing power’ te laten optreden in het bedrijf of de organisatie, voorziet de Europese verordening in een vorm van ontslagbescherming voor de DPO. Deze bescherming is enigszins vergelijkbaar met die van een MR lid. Om de DPO rol verder te vergemakkelijken en hem in positie te brengen kent hij binnen zijn organisatie ook een onafhankelijke positie t.o.v. de bestaande business en rapporteert hij aan het hoogste management. Dit houdt in dat hij vooraf geen instructies krijgt en achteraf geen nadeel mag ondervinden van de standpunten die hij inneemt. Dit alles zal in de governance van een organisatie dus goed ingeregeld moeten gaan worden.

Leren van de Compliance Officer

De DPO kan beschouwd worden als een species van de Compliance Officer zoals die voornamelijk in de financiële sector is te vinden en ook steeds meer daarbuiten. Dit is een functie die haar nut heeft bewezen afgelopen jaren door haar aanjaagfunctie om integere handelen intern bespreekbaar te maken. Dat is niet zonder slag of stoot gegaan, maar de functie heeft zich wel degelijk een positie weten te verwerven binnen veel organisaties en levert toegevoegde waarde. De DPO zal naar verwachting een gelijke route bewandelen, en als hij slim is profiteert hij daarbij van de geleerde lessen van de Compliance Officer. Ook als uw organisatie geen Compliance Officer heeft, is het toch nuttig om het tweede deel op onze website te raadplegen.

De DPO als privacy hoeder

De ‘Data Protection Officer’ als privacy hoeder (voor financiĂ«le instellingen)

In heel Europa bereiden financiële instellingen zich voor op de nieuwe EU Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking treedt. De wet staat ook wel bekend als de EU General Data Protection Regulation (EU GDPR). De AVG, in het leven geroepen ter bescherming van persoonsinformatie van klanten en burgers in een groeiende digitale wereld, heeft een grote impact op de bestaande bedrijfsvoering. De wet geldt voor alle organisaties die persoonsgegevens verwerken en daarom uiteraard ook voor financiële instellingen. De Autoriteit Persoonsgegevens (AP) wordt steeds krachtiger en gaat hierop toezicht houden. De AP heeft de bevoegdheid hoge boetes op te leggen. Bovendien kunnen bestuurders hoofdelijk aansprakelijk worden gesteld bij niet naleving. Genoeg reden om actie te ondernemen dus!

Sommige gegevensverwerkingen brengen zelfs zoveel privacy- en informatiebeveiligingsrisico’s met zich mee, dat u verplicht bent een specifieke functionaris aan te wijzen die uw organisatie bijstaat in het interne toezicht op de naleving van de AVG. Dit is de ‘Functionaris Gegevensbescherming’ (FG), ofwel de ‘Data Protection Officer’ (DPO). Mits deze functie goed is ingeregeld en juist bemand, dan kan dit komende tijd weleens een heel waardevol bezit worden voor uw organisatie. De DPO kan uw organisatie zelfs behoeden voor incidenten, boetes, datalekken en bijbehorende reputatieschade.

Hieronder is door Stijn Sarneel, Managing Director van Lumen Group, een gespecialiseerde consultancy- en projectbureau op het terrein van privacy- en informatiebeveiliging, een introductie opgenomen over wat deze functie inhoudt. Ook is uitgewerkt in hoeverre een financiële instelling verplicht is een DPO aan te wijzen op basis van deze nieuwe regels.

DPO functie in context

De DPO kan gezien worden als een species van de bij veel financiële instellingen reeds aanwezige functie van Compliance Officer. De DPO richt zich daarbij specifiek op privacy- en informatiebeveiligings-vraagstukken en de implementatie van de AVG. De DPO zal er in veel organisaties niet alleen voor staan om de AVG te implementeren. Zo zal de DPO om zich heen projectmanagers, juristen, risk managers en auditors verzamelen om hiermee aan de slag te gaan komende tijd.

Alle afdelingen binnen een financiële instelling waar persoonsgegevens worden verwerkt krijgen met de AVG te maken. Dit geldt dus zowel voor de marketingafdeling, de financiële afdeling als de backoffice. De DPO zal dus veel verbindingen moeten gaan leggen om overzicht te krijgen waar persoonsgegevens worden verwerkt.

Taken en bevoegdheden van de DPO

De DPO heeft vanuit de AVG een aantal wettelijke taken en bevoegdheden gekregen om zijn functie te kunnen uitoefenen. Belangrijk element hierin is dat de DPO de business adviseert op het terrein van privacy- en informatiebeveiligingsvraagstukken en tegelijkertijd hierop toezicht houdt. Om effectief te zijn is de uitdaging van de DPO om een balans te vinden tussen de rol van ‘trusted advisor’ en interne toezichthouder.

Om de functie kracht bij te kunnen zetten en de functionaris als ‘countervailing power’ te kunnen laten optreden, voorziet de AVG in een vorm van ontslagbescherming voor de DPO. Deze bescherming is enigszins vergelijkbaar met die van een MR lid. Daarnaast dient de functie van de DPO op zodanige wijze te zijn ingericht dat deze op onafhankelijke wijze kan opereren en kan rapporteren aan de hoogste leidinggevende binnen een organisatie.

De DPO zal onder meer betrokken zijn bij de uitvoering van Privacy Impact Analyses (PIA’s) en het in kaart brengen van een register van alle verwerkingsactiviteiten van persoonsgegevens. Daarnaast heeft hij als uitdagende taak een cultuur te kweken waarin integere gegevensverwerking en transparantie centraal staat. Te denken valt hierbij aan het geven van opleidingen, trainingen en workshops. Ook zal hij controleren of voldoende invulling wordt gegeven aan de nieuwe rechten van burgers en klanten om zijn/haar persoonsgegevens: te vergeten (‘right to be forgotten’), over te dragen en/of in te zien. De toestemmingsvereisten uit de AVG om persoonsgegevens te mogen verwerken (opt-in) vragen ook aandacht.

Wettelijke verplichting uit de AVG

De AVG zegt dat een DPO verplicht is daar waar organisaties in hun kernactiviteiten zijn belast met verwerkingen die vanwege hun aard, omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal vereisen van betrokkenen (o.a. burgers / klanten). Ook daar waar  grootschalige verwerking van bijzondere (gevoelige) persoonsgegevens, zoals gezondheidsgegevens en strafrechtelijke gegevens, onderdeel is van de  kernwerkzaamheden, is een DPO verplicht.

Deze regels bevatten allerlei abstracte begrippen. Vragen die onmiddellijk rijzen bij het lezen van deze regels zijn: wat zijn ‘kernactiviteiten’ en wat is een ‘grootschalige verwerking? Om duidelijk te krijgen wat dit concreet betekent behoeft dit nog interpretatie komende tijd.

Er is door een Europese werkgroep (Working Party Art. 29) een richtlijn uitgegeven met verdere interpretaties over de DPO functie waarin ook wordt ingegaan op deze abstracte begrippen. Duidelijk is in ieder geval dat banken en verzekeraars die op reguliere basis persoonsgegevens verwerken vallen onder het criterium van een grootschalige verwerking. Financiële instellingen die bijvoorbeeld internetgebruik volgen en op basis daarvan profileren of instellingen die witwassen detecteren en/of betalingsgedrag monitoren, zullen ook al snel onder de verplichting vallen van het aanstellen van een DPO.

Ondanks deze relatieve onduidelijkheid komende tijd, blijft het desalniettemin een verplichting voor financiële instellingen om, daar waar dat op basis van de criteria nodig is, per 25 mei 2018 een dergelijke functionaris aan te stellen. Ook als er geen DPO nodig is naar de eigen beoordeling, dan dient dit samen met de redenen hiervoor gedocumenteerd te worden. Sowieso is er dus werk aan de winkel!

De AVG strekt zich niet alleen uit tot de financiële instellingen maar ook tot verwerkers van uw persoonsgegevens in uw klantketen en bij uw uitbestedingspartijen. Ook zij moeten zich afvragen of er wel of niet een DPO verplicht is bij het verwerken van de persoonsgegevens die zij namens uw instelling verwerken.

Los van de vraag of een DPO wettelijk verplicht is, is het op basis van de AVG ook mogelijk op vrijwillige basis een DPO aan te wijzen. Het is raadzaam dit te doen omdat dit zorgt voor voldoende en structurele aandacht voor privacy en informatiebeveiliging. Het levert een belangrijke bijdrage aan de eis om aantoonbaar te maken dat de organisatie compliant is. Dit zowel richting klanten, maar ook naar externe stakeholders zoals samenwerkingspartijen in de keten en richting de AP als toezichthouder. Overigens hebben veel grote financiële instellingen reeds een DPO aangewezen.

Vinden van de juiste DPO

Als het duidelijk is dat een DPO nodig of verplicht is dan dient de juiste persoon voor de functie te worden gevonden. Om deze functie goed te kunnen uitoefenen moet de DPO minimaal verstand hebben van IT, business (processen) en juridisch onderlegd te zijn en kennis en ervaring hebben. Ook moet de DPO beschikken over de juiste competenties zoals inlevingsvermogen en moed. Eigenlijk wordt een soort schaap met vijf poten gezocht. Zonder dat dit een blatend schaap is waar niemand naar luistert omdat deze niet de verbinding met mensen kan maken.

Intern zijn deze personen vaak best lastig te vinden. Partijen mogen er op basis van de AVG er ook voor kiezen om een externe DPO aan te stellen of zelfs voor een soort (abonnements)service te kiezen.

Wilt u advies over de inrichting van de DPO, de AVG of de implementatie hiervan? Zoekt u mogelijk een geschikte (externe) DPO? Neem dan contact op met Lumen Group.