De onmisbare vaardigheden voor een succesvolle privacy officer: verbinding als sleutel tot succes

Een privacy officer is vooral een verbinder, die een doordachte en overtuigende afweging maakt tussen verschillende belangen. Danny Hoekzema, privacyadvocaat van The New Paradigm en examinator en docent van Outvie, vertelt over de grote uitdagingen en de essentiële succesfactoren.

Het werk van privacy officers is veelzijdig, dynamisch en uitdagend. Welke vaardigheden zijn essentieel om effectief bij te dragen aan de doelstellingen en compliance van de organisatie

Verbinding

“Een privacy officer is boven alles een verbinder”, zegt Danny Hoekzema, privacyadvocaat en oprichter van advocatenkantoor The New Paradigm. Hoekzema is examinator van de opleiding Certified Data Protection Officer (CDPO), en docent van de actualiteitenreeks Next step privacy compliance en de achtdaagse leergang Chief Data Officer van Outvie. “Je hebt als privacy professional te maken met een complex veld van stakeholders met verschillende belangen. Je moet actief op zoek naar een gedeeld commitment. Dat betekent dat je goed luistert. Maar ook dat je vragen durft te stellen. Soms zijn er onduidelijkheden, of onuitgesproken perspectieven. Dan is het belangrijk om door te vragen en om de diverse keuze-opties te expliciteren.”

Hoe ga je als privacy officer op de juiste manier om met de dynamiek van je organisatie? “Het helpt om de verbinding te maken met de maatschappelijke context en de waarden achter privacy”, zegt Hoekzema. “Wat willen we als organisatie bereiken? Welke missie en visie hebben we? En wat betekent dit voor onze omgang met data en privacy? Je zoekt dan steeds naar een zorgvuldige afweging tussen verschillende belangen.”

Standvastigheid en flexibiliteit

Een succesvolle privacy professional staat stevig in de schoenen, ziet Hoekzema. “Soms moet je een duidelijk standpunt innemen en daadkrachtig knopen doorhakken. Ook al word je misschien als lastig ervaren. Als je ingewikkelde vraagstukken aankaart, of als je erop wijst dat er aanpassingen nodig zijn in bestaande werkwijzen, dan leg je eigenlijk een probleem op tafel. Er moet worden nagedacht over de risico’s en mogelijke oplossingen. Daardoor kan een project soms pas later van start dan gepland.”

Om de discussie in de organisatie over privacy en compliance in goede banen te leiden, is ook aanpassingsvermogen nodig, benadrukt Hoekzema. “Aan de ene kant sta je voor de opgave om complexe issues te agenderen en om zo nodig kritische vragen te stellen. Aan de andere kant moet je je soms ook neerleggen bij de prioriteiten en keuzes van de organisatie. Bijvoorbeeld: als je een potentieel onrechtmatige verwerking signaleert, dan is het mogelijk dat er wordt besloten om het risico te accepteren.”

Belangenafwegingen vanuit de organisatie en de ethiek

Volgens Hoekzema is het vermogen om doordachte belangenafwegingen te maken een fundamenteel onderdeel van de skillset van effectief opererende privacy officers. “Je hebt altijd een begrip nodig van de belangen van je organisatie, zodat je actief kunt meedenken over de omgang met – potentieel – conflicterende belangen. Staat compliance voorop? Of zoeken we bewust de grenzen van de wet op? De afwegingskaders bij een maatschappelijke organisatie kunnen heel anders zijn dan bij een commerciële organisatie.”

Zijn ethische vaardigheden onmisbaar voor de privacy professional van de toekomst? “Je moet in staat zijn om afwegingen te maken tussen wettelijke vereisten en organisatorische belangen. Maar dat betekent niet dat je het ethische geweten van de organisatie moet zijn”, nuanceert Hoekzema. “Je wilt handelen op basis van een weloverwogen belangenafweging, waarbij je rekening houdt met de positie van de organisatie in de samenleving. Dat gaat net zozeer over een sterke argumentatie als over een ethische reflectie. Wil een organisatie welbewust risico’s nemen? Wijs dan op de mogelijke impact van een datalek, een Wamca-zaak of een boete van de toezichthouder.”

Prioriteren én uitzoomen

De ontwikkelingen in de Europese wet- en regelgeving, de rechterlijke uitspraken en de guidance van privacytoezichthouders betekenen dat er veel op privacy professionals af komt. Prioriteren is dan ook een belangrijke vaardigheid, zegt Hoekzema. “Het is een uitdaging om steeds op de hoogte te zijn van de ontwikkelingen, en om de juiste prioriteiten te stellen. Waar begin je als er nieuwe regels en aanbevelingen komen? Hoe prioriteer je de vereiste vervolgacties?”

Om de topissues te selecteren en daarop adequaat te handelen is naast een zorgvuldige analyse soms ook een helicopterview nodig. “Gegevensbescherming is een rechtsgebied dat volop in ontwikkeling is. De discussies over bijvoorbeeld de internationale doorgifte van data zijn nog niet uitgekristalliseerd. Er wordt nu soms al voorgesorteerd op een Schrems-III, of zelfs een Schrems-IV of V. Maar als je steeds wilt acteren naar aanleiding van het nieuws over dergelijke zaken dan kan dat veel hoofdbrekens veroorzaken. Mijn advies is: kijk goed naar wat in je macht ligt, en laat je niet teveel meeslepen door richtlijnen die nog niet definitief zijn.”