Zo maak je als Privacy Officer of FG het verschil
Ingeborg Smit, juridisch adviseur en strategisch adviseur gegevens, Nationale Politie
Wat zijn de grote uitdagingen voor de privacy officers van nu? Ingeborg Smit, juridisch adviseur en strategisch adviseur gegevens bij de Nationale Politie, vertelt over de actuele ontwikkelingen waarmee de interne privacy-adviseurs te maken hebben, en noemt de succesfactoren voor professionals die dataprotectie in de organisatie verder brengen.
Hoe kom je van de strategie naar een praktisch beleid? Wat zijn de onderdelen van een effectieve werkwijze? Hoe wordt de organisatie meer privacy aware? Het zijn de centrale vragen van een van de modules van de training Privacy Officer 2.0. In een interactieve sparsessie delen verschillende privacy experts hun ervaringen, inzichten en tips om de strategie te vertalen naar een praktische aanpak. Een van de gastdocenten is juridisch adviseur Ingeborg Smit, die diverse organisaties adviseert over de beste manieren om grip te houden over de verwerking van persoonsgegevens.
“Organisaties passen allerlei vernieuwende technologieën toe, zoals kunstmatige intelligentie en machine learning, waarbij grote hoeveelheden data worden gebruikt. Daarbij is vaak sprake van verwerking van persoonsgegevens”, zegt Smit over een van de actuele uitdagingen voor Privacy Officers. “Het is belangrijk dat innovaties niet door dataprotectie worden gestopt. De grote opgave is dan ook: hoe stimuleer je vernieuwing en houd je toch in de gaten dat persoonsgegevens zorgvuldig worden verwerkt?”
De opmars van artificial intelligence, big data en hybride werken maken de verwerking van persoonsgegevens ongrijpbaarder dan ooit. “Hoe houd je zicht op alle datastromen? Welke persoonsgegevens komen de organisatie binnen en voor welk doel? Wat wordt er vervolgens verder mee gedaan en wat wordt er extern gedeeld? Wat staat er in de cloud en wat gebeurt er in onze andere informatiesystemen?”, vat Smit de vraagstukken samen. “Minstens zo belangrijk is de vervolgvraag: hoe houden we zicht op de risico’s van de gegevensverwerkingen?”
Ethische vragen
Naast praktische en strategische issues rond de verwerking van persoonsgegevens krijgen Privacy Officers ook steeds vaker te maken met ethische vraagstukken, signaleert Smit, die zich momenteel bij de Nationale Politie bezighoudt met onder meer het verwerkingsregister en de uitvoering van Data Protection Impact Assessments (DPIA’s). Eerder was ze manager privacy bij de VNG, Functionaris voor de Gegevensbescherming (FG) bij de gemeente Zoetermeer en senior jurist bij Logius. “In veel organisaties is de omgang met ethische kwesties nog niet functioneel belegd, waardoor de vragen al snel terechtkomen bij de Privacy Officer. Dat past tot op zekere hoogte ook bij de rol en expertise van een interne privacy-adviseur. Je bent in een positie om verschillende belangen af te wegen en om een risico-analyse en juridische toets uit te voeren. Privacy officers lopen bovendien vaak als eerste tegen ethische vragen aan: wat kan er, wat mag er en wat willen we dan eigenlijk?”
De grote lijnen in het oog
Wat staat Privacy Officers anno 2022 te doen nu organisaties op alsmaar complexere manieren persoonsgegevens verwerken? Smit: “Het begint met overzicht houden. Dat is allereerst een grote uitdaging door de schaalgrootte van informatiesystemen en de grote hoeveelheden gegevens die erin worden verwerkt. Daarnaast is de interpretatie van de wet- en regelgeving soms ingewikkeld. Kunstmatige intelligentie brengt datagebruik in een stroomversnelling, die in de Algemene verordening persoonsgegevens (AVG) niet volledig is voorzien. Een vraag is bijvoorbeeld: is er nog wel sprake van persoonsgegevens als ongestructureerde data zijn geanonimiseerd?”
De Privacy Officers van de toekomst zijn in staat om de grote lijnen te bewaken, vindt Smit. “Natuurlijk spelen er in elke organisatie hele praktische vragen. Is er een verwerkersovereenkomst nodig? Wanneer starten we een DPIA? Maar het is ook belangrijk om verder te kijken dan de letter van de wet. Ben ik goed op de hoogte van de gegevensverwerkingen? Houd ik de restrisico’s uit DPIA’s in de gaten?”
Volgens Smit zijn Privacy Officers niet zozeer aan zet om ethische kwesties op te lossen, maar eerder om de dilemma’s te adresseren. “Agendeer het thema bij het management of bestuur: is dit de richting waar we als organisatie naartoe willen? Of stel vragen aan de collega of afdeling die het initiatief heeft genomen: welke afwegingen zijn er mogelijk en wenselijk?”
Bondgenoten
Smit adviseert Privacy Officers om nauw samen te werken met collega’s en interne bondgenoten. “Je kunt niet alles zelf zien. Je bent idealiter een spil in het netwerk van collega’s die zich bezighouden met innovaties en andere zaken die relevant zijn voor de privacycompliance. Je hebt daarom een goede antenne nodig voor wat er intern speelt, en je moet actief uitdragen dat je voor collega’s het aanpreekpunt bent voor vragen en meldingen.”
De teams die verantwoordelijk zijn voor informatiebeveiliging en finance & control zijn natuurlijke bondgenoten voor de Privacy Officer. Zij kunnen bijvoorbeeld signalen opvangen van mogelijke risico’s, of melding maken van risicovolle initiatieven. Ook de samenwerking met de FG ziet Smit als een succesfactor. “De Privacy Officer staat dichter bij de werkvloer dan de FG. De FG kent de uiteenlopende onderdelen van een organisatie en is in staat om strategische en bestuurlijke afwegingen te maken. Met goede afspraken over de onderlinge samenwerking kan je de privacy awareness en compliance van de organisatie samen verder brengen. Wanneer doet de Privacy Officer een melding bij de FG? Hoe informeer je elkaar over risico’s? Wanneer wordt de FG actief betrokken om issues op te schalen?”
Succesfactoren voor een privacybewuste organisatie
In de vierdaagse Outvie-training Privacy Officer 2.0 gaan (toekomstige) privacy professionals aan de slag met een praktisch beleid om optimale impact te maken op de awareness en compliance van de organisatie. Onder leiding van hoofddocent Jean Paul van Schoonhoven komen actuele thema’s, juridische ontwikkelingen en technische vraagstukken aan bod. Denk aan issues zoals risicomanagement, Privacy by Design, informatiebeveiliging, communicatie en verslaglegging. De deelnemers gaan naar huis met de kennis en vaardigheden om stappen verder te zetten naar een privacybewuste organisatie.
Begrip van de organisatie en oog van de mogelijkheden van de AVG zijn volgens Smit de succesfactoren voor de Privacy Officers van nu en straks. “Privacy officers die de organisatie doorgronden én goed omgaan met de open normen van de AVG maken het verschil. Er wordt nogal eens gedacht: van de AVG mag het niet. Maar de bedoeling van de AVG is niet om gegevensverwerkingen te verbieden, maar om het mogelijk te maken dat persoonsgegevens binnen de Europese Unie worden gedeeld. Durf als Privacy Officer de open normen toe te passen, en vandaaruit te adviseren over wat er is toegestaan en wat de vereiste waarborgen zijn.”
“Zorg dat collega’s je goed kunnen vinden en dat je een prettige gesprekspartner bent op allerlei niveaus van de organisatie”, voegt Smit toe. “Dan kan je privacyvraagstukken op de juiste manier op de agenda zetten. Op de werkvloer én aan tafel bij het management of bestuur.”
Als interne privacy adviseur of aankomend FG klaar zijn voor de uitdagingen van vandaag en morgen? Volg de vierdaagse Outvie-training Privacy Officer 2.0 of FG in de publieke sector en leer alles over de strategie en het beleid om de AVG-compliance van de organisatie naar het volgende niveau te brengen.
Functionaris Gegevensbescherming publieke sector
De 4-daagse training gaat zowel in op de praktische toepassingen van regelgeving, maar ook...
Auditing Privacy
De training Auditing Privacy leert u hoe u de accountability van een organisatie onder...
Download de brochure Privacy Officer 2.0
Share
