De FG in de publieke sector is naast een interne toezichthouder vooral een goede gesprekspartner
Laura Oldenburg Functionaris Gegevensbescherming / Privacy Officer, Waterschap Zuiderzeeland
Een Functionaris Gegevensbescherming (FG) in de publieke sector staat nu voor andere vraagstukken dan ten tijde van de komst van de Algemene Verordening Gegevensbescherming (AVG). Laura Oldenburg van Waterschap Zuiderzeeland vertelt over de actuele uitdagingen en over de succesfactoren van FG’s die het verschil maken. “Het FG-schap is niet iets dat je er even bij doet.”
“De introductie van de AVG leverde een enorme berg werk op. Daar hebben we goede stappen mee gezet, en nu zijn we steeds meer in control. Daardoor kunnen de FG en de privacy-adviseur ook beter meedenken met de organisatie over wat er mogelijk is binnen de kaders van de wet”, vertelt Laura Oldenburg, sinds 2020 FG bij Waterschap Zuiderzeeland en daarvoor Privacy Officer bij het waterschap. Eerder werkte ze onder meer als legal counsel bij Strukton.
“Een organisatie heeft echt behoefte aan een privacy & security team dat meedenkt over oplossingen en projecten en plannen niet alleen maar benadert vanuit de vraag of het wettelijk is toegestaan”, zegt Oldenburg over haar leerervaringen als FG. Bij Waterschap Zuiderzeeland nemen aan het privacy & security team naast de FG en de privacy-adviseur ook de CISO en ISO deel. Het team is onderdeel van de afdeling Dienstverlening & Informatievoorziening en werkt nauw samen met onder meer specialisten op het terrein van procesautomatisering. “Privacy en security zijn daardoor een integraal onderdeel van de operatie en we denken constructief mee over een verantwoorde en veilige werkwijze om de doelen van de organisatie te bereiken.”
Verder kijken dan de wet
Een grote actuele uitdaging voor FG’s bij publieke organisaties is volgens Oldenburg om aantoonbaar in control te zijn. “Binnen het waterschap was ook al voor de komst van de AVG een sterke privacy awareness. Maar we zijn toch nog steeds bezig met processen, procedures en kwaliteitssystemen om de compliance aantoonbaar te maken. Accountability zien we als een belangrijk onderdeel van onze verdere groei in privacyvolwassenheid.”
Ethiek is een actueel vraagstuk voor privacy professionals en voor een publieke organisatie is een structurele aandacht voor het thema extra belangrijk, vindt Oldenburg. “Het maatschappelijke vertrouwen in de overheid staat onder druk en een goede omgang met persoonsgegevens geeft een kans om dat te verbeteren. Zeker als je naar je omgeving ook laat zien welke morele afwegingen je maakt. Binnen het waterschap kijken we veel verder dan de wet- en regelgeving, en zetten we ethiek expliciet op de agenda. Een gegevensverwerking is misschien juridisch toegestaan, maar willen we het ook echt? Welke risico’s spelen er, nu en in de toekomst?”
Drie succesfactoren voor FG’s
Wat zijn de belangrijkste succesfactoren voor een FG bij een publieke organisatie?
1) Zorg dat je een goede gesprekspartner bent, adviseert Oldenburg. “Als interne toezichthouder heb je misschien de neiging om je controlerend op te stellen. Maar je wilt niet belerend optreden, of simpelweg een ja- of nee-zegger zijn. Het gaat erom dat je meedenkt met de behoefte en doelstelling van de organisatie, met oog voor de belangen en rechten van betrokkenen.”
2) Goede interne relaties zijn een succesfactor, voegt Oldenburg toe. “Het is belangrijk om benaderbaar te zijn, en vragen snel en goed te beantwoorden. De FG zit niet in een ivoren toren.” Bij Waterschap Zuiderzeeland worden medewerkers actief geïnformeerd over privacyvraagstukken en de personen die daar meer over weten. Naast een algemene bewustwordingscampagne organiseert het privacy & security team bijvoorbeeld workshops over data-ethiek en presentaties over dataprotectie en informatieveiligheid voor nieuwe medewerkers.
3) “Externe contacten zijn ook belangrijk. Het vak van FG kan eenzaam zijn en je krijgt soms met pittige vraagstukken te maken. Dan is het heel fijn als je met vakgenoten en experts kunt sparren. Over de uitdagingen waarmee je te maken hebt, en over oplossingen en aanpakken van andere organisaties.” Oldenburg vond haar externe netwerk onder meer via de beroepsopleiding Certified Data Protection Officer (CDPO), die ze in 2020 met succes afrondde. Elk najaar organiseert Outvie een Actualiteiten- en netwerkdag voor CDPO’s met workshops en presentaties over actuele thema’s én veel ruimte om andere CDPO’s te ontmoeten.
Het FG-schap als vak
“Veel FG’s starten met de functie naast een andere functie. Maar het FG-schap is niet iets dat je er even bij doet”, benadrukt Oldenburg. “FG zijn is echt een vak: je hebt er veel competenties voor nodig die je moet blijven ontwikkelen, en je moet veel dingen goed kunnen om je werk goed te doen.”
De vierdaagse praktijkcursus FG in de publieke sector van Outvie geeft de deelnemers alle kennis en vaardigheden om de taken, bevoegdheden en verantwoordelijkheden als FG optimaal in te vullen. Naast de praktische toepassing van de actuele wet- en regelgeving, staan ook onderwerpen op het programma zoals communicatie met de toezichthouder, draagvlak in de organisatie en technische vraagstukken rond informatiebeveiliging.
De training is speciaal ontwikkeld voor professionals die (mede)verantwoordelijk zijn voor de verwerking van persoonsgegevens in de publieke sector. Naast (aankomende) FG’s gaat het om bijvoorbeeld security officers, privacyjuristen, informatie-analisten, compliance officers en veiligheidscoördinatoren. Hoofddocent Jean Paul van Schoonhoven en zeven gastdocenten delen vakkennis én geven praktische handreikingen voor bijvoorbeeld een sterke positionering van de FG-functie, de ontwikkeling van een effectieve strategie, de omgang met risico’s en privacy by design, en de aanpak van awareness.
“Een groot deel van de wet- en regelgeving kan je je als FG, als je een juridische achtergrond hebt, zelf eigen maken. Maar voor het totaalpakket van een FG-functie is veel meer nodig”, reageert Oldenburg. “Denk aan interne communicatie. Je moet het privacybeleid in zekere zin kunnen verkopen, bijvoorbeeld door de organisatie te overtuigen waarom het belangrijk is om een DPIA uit te voeren. Je moet ook op de hoogte blijven van de nieuwste ontwikkelingen, en jezelf verder ontwikkelen door je kennis op specifieke onderwerpen, zoals ethiek en Artificial Intelligence, te verdiepen.”
Drie kenmerken van succesvolle FG’s
Pragmatisme, een sterk moreel kompas en omgevingssensitiviteit zijn volgens Oldenburg belangrijke kenmerken van FG’s die in een publieke organisatie het verschil maken. “Met pragmatisme bedoel ik: kijk naar wat er mogelijk is. Toezichthouders die een stoplichtmodel hanteren – en bij elk initiatief alleen maar zeggen of het mag of juist niet – doen zichzelf te kort. Met een oplossingsgericht perspectief kom je veel verder. Maak daarbij ook ethische vraagstukken expliciet een onderwerp van gesprek. Dat vraagt ook veel communicatieve vaardigheden, want je moet met alle niveaus van de organisatie kunnen praten.”
Let op het interne commitment, adviseert Oldenburg startende en aankomende FG’s. “Onderzoek of de organisatie echt gemotiveerd is, of de FG als een verplicht nummer ziet. Je hebt als FG namelijk commitment nodig. Om tijd en geld te krijgen voor je taken, en om met de steun van de top te opereren. Een FG-schap zonder commitment kent alleen maar verliezers.”
Tijdens de praktijkcursus FG in de publieke sector komt u alles te weten over de topprioriteiten om als FG in de publieke sector het verschil te maken voor dataprotectie en privacy compliance van uw organisatie. Bekijk voor het volledige programma en de startdata de website van Outvie.
Functionaris Gegevensbescherming publieke sector
De 4-daagse training gaat zowel in op de praktische toepassingen van regelgeving, maar ook...
Auditing Privacy
De training Auditing Privacy leert u hoe u de accountability van een organisatie onder...
Download de brochure
Share
