Home “De DPO is een verandermanager”
“De DPO is een verandermanager”
Rence Damming, Chief Information Security & Privacy Officer, PON
Privacy compliance vraagt om een continue aandacht voor verandering en awareness in de organisatie, aldus Rence Damming, Chief Information Security & Privacy Officer van PON.
“Een privacybeleid wordt wel eens gezien als de heilige graal om een privacyprogramma uit te rollen. Maar het is veel belangrijker om een programma te ontwikkelen dat aansluit bij de reële risico’s van de organisatie”, zegt Rence Damming over de actuele opgave voor Data Protection Officers (DPO’s) en Privacy Officers.
Dat Damming is sinds 2016 Chief Information Security & Privacy Officer van het internationaal opererende concern PON en gastdocent van de Outvie-opleiding Certified Data Protection Officer (CDPO). “Privacy professionals starten doorgaans vanuit een beleid dat is gebaseerd op de wet- en regelgeving. Maar je moet vooral eerst je organisatie goed kennen en dan een beleid ontwikkelen. Bijvoorbeeld als het gaat om de risico’s die samenhangen met het type organisatie, de systemen die worden gebruikt en de partijen met wie wordt samengewerkt. Natuurlijk is de wet- en regelgeving kaderstellend, maar voor de compliance is het van doorslaggevend belang dat de organisatie de regels en het beleid daadwerkelijk kan toepassen in de dagelijkse werkpraktijk.”
Beleid Dataprotectie
Damming houdt zich al 23 jaar bezig met informatiebeveiliging, security en privacy. Tussen 2010 en 2016 werkte hij als privacy officer van de KPN Groep. Eerder was hij privacy en security officer bij Telfort, en werkte hij in verschillende functies aan ICT-projectmanagement, lawful interception en informatiebeveiliging. “Een privacybeleid maakt een organisatie niet noodzakelijkerwijs compliant of veiliger”, zegt Damming over een belangrijke les uit zijn jarenlange ervaring. “Het draait veel meer om een praktische vertaling van wet- en regelgeving, ethische afwegingen en maatschappelijke verwachtingen. Welke concrete acties en maatregelen kunnen we nemen om de compliance te verbeteren? Hoe kunnen we alle collega’s die werken met persoonsgegevens activeren om rekening te houden met dataprotectie? Hoe zorgen we voor een privacy team dat oog heeft voor de actuele uitdagingen van de organisatie?”
Adviseur, vraagbaak en verandermanager
Leren van fouten en incidenten is volgens Damming een van belangrijke eigenschap van succesvolle DPO’s en Privacy Officers. Naast kennis over risico- en incidentmanagement hebben privacy professionals daarvoor ook praktische en strategische competenties nodig. “Je moet de instelling en mentaliteit hebben om privacy intern voor het voetlicht te brengen en om het belang van dataprotectie als het ware te verkopen. Je moet de organisatie overtuigen van de noodzaak van compliance en collega’s mobiliseren om er werk van te maken. Je bent als DPO een autoriteit op het gebied van privacy én een beïnvloeder van de beslissers en bestuurders.”
De uitvoering van een privacyprogramma is in feite een veranderproject dat steeds in ontwikkeling is, benadrukt Damming. “Een DPO is niet alleen een adviseur en vraagbaak, maar ook een verandermanager. Je staat voor de opgave om een veranderproces aan te zwengelen en op de agenda te houden. Dat betekent bijvoorbeeld: een businesscase opstellen en toelichten, en beslissers overtuigen om te investeren in compliance. Maar ook: een stip op de horizon zetten, en een weg ernaartoe uitstippelen waarbij je de organisatie in kleine stappen meeneemt in alle veranderingen.”
Leren van successen en incidenten
Damming deelt tijdens de CDPO-opleiding zijn ervaringen met de implementatie van de Algemene verordening gegevensbescherming (AVG), inclusief een stappenplan om als DPO passend te reageren op de grootste issues. De CDPO-opleiding is speciaal ontwikkeld voor gevorderde privacy professionals. Na afronding van de tiendaagse opleiding en het examen ontvangen deelnemers de titel CDPO en een aanmelding in het register van Certified Data Protection Officers. Met de certificering laten DPO’s de deskundigheid en professionaliteit zien.
Onder leiding van hoofddocent Peter van Schelven en diverse gastdocenten gaan deelnemers aan de slag met specialistische vakkennis, zoals op het gebied van Nederlandse en Europese regelgeving, data-technologie, de raakvlakken tussen informatiebeveiliging en privacy, en het beleid van toezichthouders. Daarnaast komen praktische skills aan bod die nodig zijn voor onder meer de omgang met datalekken en incidenten, de uitvoering en beoordeling van Privacy Impact Assessments (DPIA’s), en awareness en draagvlak in de organisatie. Deelnemers gaan naar huis met literatuur, lesmateriaal, checklists, templates en andere tools en handreikingen. Daarnaast zijn alumni onderdeel van een inspirerend netwerk van CDPO’s, voor wie Outvie regelmatig speciale events organiseert.
CDPO opleiding
“De CDPO-opleiding is nadrukkelijk gericht op de praktische toepassing van theorie en wet- en regelgeving”, licht Damming toe. “De focus ligt op best practices, succesverhalen en lessen die je kunt trekken uit incidenten en andere leerzame situaties. Wet- en regelgeving is altijd een generieke beschrijving van de verplichtingen voor een organisatie. Door maatschappelijke en technologische ontwikkelingen ontstaan steeds nieuwe mogelijkheden, normen en vereisten. Dan heb je als DPO actuele kennis van jurisprudentie en best practices nodig om de juiste koers aan te houden.”
Een risicogerichte aanpak is voor iedere DPO een must-do, vindt Damming. “Elke organisatie kent specifieke issues, maar een aantal thema’s spelen overal. De verwerking van gevoelige persoonsgegevens, internationale gegevensverwerkingen en de analyse van grote hoeveelheden data kunnen enorme impact hebben.”
De belangrijkste schakel
Onderschat je invloed en verantwoordelijkheid niet, drukt Damming DPO’s op het hart. “Je kunt door je adviezen en oordelen een grote impact hebben op de bedrijfsvoering. De organisatie kan bijvoorbeeld besluiten om plannen en projecten stop te zetten, vanuit de – terechte of onterechte – gedachte dat een gegevensverwerking vanwege de privacywetgeving of het privacybeleid niet is toegestaan.”
Als verandermanager staat een DPO ook aan de lat om risico’s en incidenten te evalueren. “Never waste a good crisis. Trek lering uit zaken die verkeerd zijn gelopen. Niet om iemand aan de schandpaal te nagelen, maar om ervan te leren én om bewustwording te creëren. Awareness is een van de belangrijkste opgaven en instrumenten voor privacy professionals. Er wordt wel gezegd dat mensen de zwakste schakel zijn. Maar wat mij betreft zijn ze de belangrijkste schakel.”
Ook als DPO het verschil maken voor compliance? Volg de opleiding Certified Data Protection Officer (CDPO) en kom in oktober naar het Dataprotectie & Privacy congres.
Senior Privacy Professional
In de training Senior Privacy Professional krijgt u verdiepende kennis over leiderschapscompetenties, vergroot u...
Certified Data Protection Officer®
Deze opleiding is speciaal voor de gevorderde Data Protection Officer ontwikkeld. Met de titel...
Download de brochure
Share