Afgelopen maand was het weer zo ver. Consignium sloot met Riskworld aan bij de Dag van Privacy Officer om samen met andere professionals in Privacy en Dataprotectie alle actualiteiten van het afgelopen jaar de revue te laten passeren. Na eerdere succesvolle edities kwam IIR, experts in conferenties en trainingen, ook voor 6 en 7 juni met een veelbelovend programma: het bieden van een platform rond de inrichting, uitvoering en ontwikkeling van de DPO/FG-functie. Onder meer de rol die de DPO/FG aanneemt en welke invulling daar aan gegeven moet worden stonden centraal. Simon Hania, DPO bij Uber, presenteerde in klare taal wat men zou moeten verwachten van een DPO, maar vooral ook wat niet verwacht moet worden. Belangrijke partijen waren vertegenwoordigd op dit informatieve event, o.a. professionals van de NS, Lidl, de Kamer van Koophandel en KPN, waarbij veel actuele inzichten en belangrijke informatie is verschaft.
Donderdag 6 juni stond in het teken van de actualiteiten van het afgelopen jaar op het gebied van dataprotectie, waarbij met name gekeken werd naar de inrichting en uitvoering van de rol van DPO/FG en de invloed die uitgeoefend moet worden. Maar ook wat de ethische dillema’s voor de DPO/FD zijn als het aankomt op AI bijvoorbeeld. De tweede dag van event was meer op de praktijk gericht. Een mooie combinatie, volgens Riskworld. Als FG heb je een solistische rol in de organisatie. Op veel plekken zijn praktijken aan het ontstaan en als je alleen in je eigen organisatie blijft kijken zie je die niet. Het is daarom belangrijk om samen te komen tijdens een event als de Dag van de Privacy Officer. Een congres brengt mensen samen, wat waardevol is in zowel de gedragenheid van de regelgeving als de
Één jaar later
Tijdens een van de eerste events van IIR bespraken we de op dat moment ‘nieuwe’ AVG, vervolgens werd een bijeenkomst georganiseerd waarbij is ingegaan op de implementatie tijdens het actualiteitencongres. Een jaar na de inwerkingtreding van de AVG is intern veel werk verricht. De vraag is echter – hoe professionaliseren we het, bouwen we het verder uit en houden we vast aan dat wat is neergezet?
Op hoofdlijnen is het noodzakelijk om een aantal van de processen die zijn neergezet op een goede manier te operationaliseren, bijvoorbeeld door het gebruik van slimme tools. Het doel is om de grootste risico’s klein te houden en daarmee het proces binnen de organisatie verbeteren.
Compliance doorlopend monitoren
Geconcludeerd kan worden dat organisaties meer volwassenheid moeten tonen als het gaat om dataprotectie. Daar waar het afgelopen jaar binnen organisaties de nadruk lag op de herstelmaatregelen die genomen moeten worden om in lijn met de AVG te handelen, is het de komende periode belangrijk om meer verantwoordelijkheid te nemen voor de privacy en bescherming van persoonsgegevens. De Autoriteit Persoonsgegevens (AP) heeft aangegeven actiever te zullen optreden, zo vertelt Friederike van der Jagt tijdens haar presentatie.
Rol DPO helder?
Simon Hania, de Data Protection Officer bij Uber heeft in zijn presentatie benadrukt dat het belangrijk is voor DPO/FG’s te weten welke taken wel, en welke niet tot hun rol behoren. In de eerste plaats zal de FG optreden als gids, iemand die de wet- en regelgeving weet uit te leggen aan zijn organisatie. Daarnaast zal de FG ook als interne toezichthouder moeten fungeren, een toeziend oog op de naleving van de wet. Als de rol van de FG duidelijk is, kan sneller geschakeld worden met experts van andere specialismen. Aandachtig luistert het publiek naar Simon die tot slot benadrukt dat de FG/DPO geen oordelen mag en kan vellen over de verwerking van persoonsgegevens en daarmee ook geen verantwoordelijkheid kan nemen voor de uitvoering van het privacybeleid binnen de organisatie. Het risico bestaat dat de Data Protection Officer beslissingen gaat nemen en daarmee een verkapte goedkeuring geeft voor een bepaalde verwerking. Dat is juist iets wat we niet moeten willen, omdat daarmee de onafhankelijkheid niet langer geborgd kan worden. De DPO moeten ten alle tijden aan kunnen geven wanneer verwerkingen en handelingen niet volgens de regels verlopen. Ook de CPO en FG van ABN Amro bekrachtigt dit en geeft aan dat je als DPO/FG je niet gek mag laten maken door de waan van de dag. Vraag je af of de taken en verantwoordelijkheden goed zijn afgebakend zodat je voldoende onafhankelijk kan werken?
Samenwerking
Om compliant te kunnen zijn aan de AVG/GDPR is het noodzakelijk dat de collega’s, afdelingen en lagen binnen een organisatie goed met elkaar kunnen samenwerken. Als iedereen goed op de hoogte is van de laatste ontwikkelingen, het beste ervan maakt en zorgvuldig om gaat met persoonsgegevens dan weet je dat op een professionele manier invulling is gegevens aan het thema. De DPO neemt hier de belangrijkste rol in door te zorgen dat de organisatie zich bewust is van de risico’s die gepaard gaan met de verwerking van persoonsgegevens. Daarnaast is het zo dat de DPO een brede blik moet hebben en verder moet kijken dan het (privacy) recht, andere rechtsgebieden kunnen namelijk net zo relevant zijn voor de werkzaamheden van de FG. Het is onvoldoende om alleen vanuit een juridisch oogpunt te handelen, omdat je ook moet weten hoe datastromen lopen en organisatieprocessen in elkaar steken.
Al met al een zeer verhelderende donderdag in Amsterdam. Interessant om op zo’n event bijgepraat te worden door professionals over de actualiteiten van het afgelopen jaar. Voor de vrijdag stonden een vijftal workshopsessies op de agenda.
Praktijkdag To Stay Compliant
Op vrijdag 7 juni was het tijd voor de praktijkdag. Het is namelijk één ding om het GDPR/AVG programma binnen de organisatie op te zetten, maar een iets anders om in control te komen en blijvend te kunnen voldoen aan de privacywetgeving.
Focus
De eerste workshopsessie had als thema ‘AVG Governance’ waar dieper werd in gegaan op de wijze waarop een governance structuur georganiseerd kan worden en welke middelen daarvoor gebruikt kunnen worden. Draagvlak creëren en de focus leggen op de ‘benefits’ is hierbij belangrijk. Wanneer privacy als ‘unique selling point’ ingezet wordt kan voordeel worden behaald, net als wanneer privacy wordt ingebed in bestaande processen in plaats van het opvoeren van nieuwe processen
Lessons learned
- “iets beters is een bedreiging van iets goeds”
- “te veel enthousiasme kan ook remmend werken”
- “communicatie is belangrijk”
DPO als influencer
Tijdens de tweede workshopsessie stond het belang van zichtbaarheid op de vloer centraal. Het is van groot belang dat de DPO een operationele rol aanneemt, waarbij hij als strategisch beleidsbepaler te werk gaat – men zou kunnen zeggen dat de DPO een influencer is. De rol omvat namelijk niet alleen maar Legal/Compliance activiteiten, op alle niveaus en afdelingen moet de ‘spirit’ leven welke de DPO doorgeeft. Ook bij management.
Workshopsessies
In totaal volgden we vijftal workshopsessies met verschillende thema’s, onder meer de privacy op de werkvloer en de grondslagen ‘toestemming’ en ‘gerechtvaardigd belang’ kwamen ter sprake. Daarnaast werd de rol van DPO/FG besproken vanuit het oogpunt van digitale security. Omdat de sessies vrijwillig zijn gekozen zaten er tijdens de praktijkdag professionals aan tafel met dezelfde interesses. Dit maakt dat er hele waardevolle discussies ontstonden wat ten goede komt aan de ontwikkelingen op de werkvloer.