Mijn Leeromgeving

Outvie zomeractie: Kies uit een Winkelcheque of een Bol.com cadeaubon t.w.v. €50,-* Bekijk de actie.

Zo bouwt de privacy officer mee aan een toekomstbestendige organisatie

Foto van Jean Paul van Schoonhoven, founding partner van adviesbureau L2P en hoofddocent van de opleiding Privacy Officer 2.0

Jean Paul van Schoonhoven, founding partner van adviesbureau L2P en hoofddocent van de opleiding Privacy Officer 2.0

Hoe maak je als privacy officer daadwerkelijk een positieve impact? Jean Paul van Schoonhoven, founding partner van adviesbureau L2P en hoofddocent van de opleiding Privacy Officer 2.0, vertelt over de uitdagingen, valkuilen en must-do’s. “Een succesvolle privacy officer adviseert én overtuigt.”

 

Veel organisaties zijn zich bewust van de sleutelrol van interne privacy adviseurs. Toch is niet altijd duidelijk wat er wordt verwacht van een privacy officer, privacy ambassadeur of Functionaris Gegevensbescherming (FG). “De eerste jaren rond de komst van de Algemene verordening gegevensbescherming (AVG) stonden de nieuwe verantwoordelijkheden en verplichtingen centraal. Veel privacy officers gingen aan de slag met de toepassing van de AVG-basisbeginselen en de implementatie van maatregelen om te voldoen aan de wettelijke vereisten”, zegt Jean Paul van Schoonhoven. Hij is founding partner van L2P, een adviesbureau dat is gespecialiseerd in privacy, informatiebeveiliging en compliance. Daarnaast is hij docent van diverse trainingen en opleidingen van Outvie, waaronder de opleiding Privacy Officer 2.0.

 

“Inmiddels is privacy vooral een governance vraagstuk”, signaleert Van Schoonhoven. “Het is geen ICT-detail of juridisch bijproduct, maar een onderdeel van organisatiebestuur. Vrijwel ieder primair proces verwerkt persoonsgegevens, en het bestuur is (op grond van artikel 24 van de AVG) eindverantwoordelijk voor de beheersing daarvan.”

 

“Privacy officers zijn steeds meer zichtbaar geworden als de adviseurs die praktisch én strategisch meedenken”, voegt Van Schoonhoven toe. “De privacy officer is de tweede lijn in de privacy governance. Je borgt de samenhang van het privacy managementsysteem en ontwikkelt kaders en methodieken. Daarnaast faciliteer je Data Protection Impact Assessments (DPIA’s), richt je het verwerkingsregister in en monitor je de werking daarvan.”

 

De privacy officer is géén risico-eigenaar, benadrukt Van Schoohoven. “De eerste lijn – de proceseigenaren die de persoonsgegevens daadwerkelijk verwerken – is verantwoordelijk voor AVG-compliance. De FG vormt als derde lijn het onafhankelijke toezicht. Het bestuur beslist over de privacyrisico’s die de organisatie wil dragen. Het zogenoemde Three Lines Model voorkomt dat er van alles bij de privacy officer terechtkomt.”

Juridisch scherp en bedrijfskundig sterk

De privacy officer van nu is juridisch scherp en bedrijfskundig sterk, aldus Van Schoonhoven. “Je bent geen nee-zegger, maar een meedenker. Je zoekt steeds de balans tussen verschillende complexe issues. Welke wettelijke verplichtingen zijn er? Welke risico’s zien we, en wat is er voor onze organisatie mogelijk om deze te verminderen? Welke kansen liggen er om te groeien in privacy volwassenheid? Wat zijn de voordelen en kosten daarvan? Een succesvolle privacy officer adviseert én overtuigt.”

 

De grootste uitdaging voor privacy officers is volgens Van Schoonhoven om de expertise steeds op peil te houden en op de hoogte te blijven van alle relevante ontwikkelingen. “Het gaat om veel meer dan de AVG. Je hebt ook te maken met aanverwante wet- en regelgeving, zoals op het gebied van Artificial Intelligence (AI), data governance en cyberbeveiliging. Daarnaast is er steeds meer jurisprudentie, ook op Europees niveau.”

 

Een andere uitdaging heeft te maken met de positionering van de privacy officer. “Je wilt dat er intern draagvlak is voor de taken, verantwoordelijkheden en bevoegdheden van de privacy officer. En dat duidelijk is hoe de functie zich verhoudt tot de FG. Een heldere rolverdeling volgens het Three Lines Model helpt daarbij: de lijn is eigenaar, de privacy officer borgt en monitort, de FG houdt toezicht en het bestuur is eindverantwoordelijk. Dat betekent dat je je meerwaarde aantoonbaar maakt, en het vertrouwen wint dat nodig is om positieve impact te maken voor de strategie, het beleid en de maatregelen rond privacy.”

AI: van AVG tot AI-verordening

Veel privacy officers merken het al van dichtbij: de opmars van AI is van invloed op de dagelijkse werkpraktijk. Maar wat verandert er precíes? Van Schoonhoven: “Allereerst verandert je werk wat betreft de vakinhoud. De AVG blijft het fundament. De AVG-beginselen ondersteunen de verantwoorde inzet van AI. Bijvoorbeeld als het gaat om de wettelijke grondslag voor een systeem, de rechtmatigheid van trainingsdata en de transparantie van de gegevensverwerkingen. Maar de AI-verordening stelt aanvullende eisen. Denk aan risicoclassificaties en Fundamental Rights Impact Assessments (FRIA’s).”

 

Ten tweede veranderen er praktische zaken als de organisatie met AI aan de slag gaat. “Je krijgt bijvoorbeeld naast DPIA’s ook te maken met FRIA’s. Bovendien is er een nauwere samenwerking nodig met collega’s die verantwoordelijk zijn voor cybersecurity en ethiek. Bijvoorbeeld omdat er vraagstukken spelen rond het tegengaan van bias in AI-systemen en het menselijke toezicht op geautomatiseerde beslissingen.”

Willen, mogen, moeten 

De vierdaagse opleiding Privacy Officer 2.0 geeft de deelnemers alle expertise en skills die nodig zijn om de functie effectief te vervullen. De opleiding is speciaal ontwikkeld voor specialisten zoals privacy officers, privacy champions, privacy ambassadeurs en FG’s. De lesstof en het programma zijn ook direct relevant voor professionals die vaak met privacyvraagstukken te maken hebben. Bijvoorbeeld compliance officers, information security officers, HR-managers en juridisch medewerkers. 

 

Onder leiding van Van Schoonhoven passeren in vier dagen alle need-to-knows en actuele thema’s de revue. Denk aan morele dilemma’s, communicatie bij incidenten, risicomanagement, gegevensuitwisseling met derden, en de werkwijze en verwachtingen van de Autoriteit Persoonsgegevens. Er is speciale aandacht voor de omgang met datalekken en de uitvoering van DPIA’s bij innovatieve en geautomatiseerde verwerkingen, zoals met AI. 

 

“Een simpele leidraad die ik deelnemers altijd meegeef, is de drieslag willen, mogen, moeten. Wat willen we bereiken? Wat mogen we juridisch? Welke persoonsgegevens moeten we daar écht voor verwerken? Zo voorkom je ‘data-obesitas’ en maak je dataminimalisatie de norm.” 

Meebouwen aan de toekomst 

Van Schoonhoven adviseert privacy officers om zich steeds te verdiepen in de belangen en verwachtingen van de organisatie. “Vermijd jargon en spreek de taal van de business. Zo breng je je standpunten en adviezen beter voor het voetlicht. Maak duidelijk wat je doet en laat zien wat privacy de organisatie oplevert. Compliance is geen kostenpost, maar een business enabler. Je wilt niet worden gezien als de collega die alleen maar lijstjes met verplichtingen afvinkt. Of de collega zijn die voor de vorm, en veel te laat, wordt gevraagd om een advies te geven.” 

 

“Denk vooruit” is een ander advies van Van Schoonhoven. “Privacymanagement is nooit klaar. Je werkt met een cyclus van plannen, doen, controleren en bijsturen. Met zo’n ritme houd je de organisatie aantoonbaar in control. Blijf leren en sta open voor nieuwe ontwikkelingen. Maak onderscheid tussen veelbelovende innovaties en vluchtige hypes. Bijvoorbeeld rond AI. Als je nú stilstaat bij de toekomst, dan houd je grip op wat er straks op je afkomt. En bouw je mee aan de toekomstbestendigheid van je organisatie.” 

 

Wilt u ook als privacy officer de privacy volwassenheid van uw organisatie verder brengen? Na de opleiding Privacy Officer 2.0 weet u wat er nodig is. Bekijk alle informatie over de opleiding op de website van Outvie. 

Download de brochure

Share

Getagged
Outvie logo