Outvie winteractie: Kies uit Diner Cadeau bon of een VVV-cadeaukaart t.w.v. €50,-* Bekijk de actie.

Risicomanagement maakt privacy compliance inzichtelijk én tastbaar

Reinier Treep, Data Protection Officer, Royal Schiphol Group

Reinier Treep, Data Protection Officer, Royal Schiphol Group

Structurele aandacht voor risicomanagement past bij een organisatie die privacy compliance serieus neemt. Reinier Treep, Data Protection Officer van Royal Schiphol Group, vertelt wat senior privacy professionals te doen staat als het gaat om risicogericht werken. “Risicomanagement & control horen bij de groei van de privacyvolwassenheid van een organisatie.”

 

“Als Data Protection Officer (DPO) heb je niet alleen een adviserende rol, maar ook een controlerende. En controle en risicomanagement zijn onlosmakelijk met elkaar verbonden”, zegt Reinier Treep, DPO van Royal Schiphol Group, over de relevantie van het thema risicomanagement voor privacy professionals. “Inzicht in risico’s is een belangrijke manier om duiding te geven aan privacy compliance, en de verantwoordelijken in de organisatie daarover te informeren.”

 

Treep werkt als groep-DPO van Schiphol samen met een kernteam van Privacy Officers en een groep Privacy Champions die in elke divisie actief zijn. “Eén van de taken van de DPO is om periodiek keer een controle uit te voeren naar de privacyrisico’s. Daarbij wordt gebruik gemaakt van de interne expertise van het team risk management, die de verschillende risico’s voor de organisatie in kaart brengt en monitort welke risico’s toenemen of juist verminderen.”

 

Accountability-vereiste

Binnen Schiphol behoort de structurele monitoring van risico’s – bijvoorbeeld financiële – tot een staande praktijk. Sinds de komst van de Algemene verordening gegevensbescherming (AVG) zijn ook privacyrisico’s een vast onderdeel van het denkkader van enterprise risk management. De DPO staat aan de lat om daar concreet invulling aan te geven, vertelt Treep, die eerder DPO was bij energiebedrijf Vattenfall en als gastdocent een bijdrage levert aan de Outvie-leergang Senior Privacy Professional. “AVG-compliance klinkt soms vaag en ongrijpbaar. Een organisatie wil eigenlijk vooral weten: welke risico’s lopen we? Maar de accountability-vereiste van de AVG betekent dat je in staat moet zijn om compliance aan te tonen. Met risicomanagement kan je daarvoor metingen en toetsen uitvoeren.”

 

Risicomanagement is voor veel privacy professionals geen dagelijkse kost. “Een goede aanpak van risico’s vraagt vaak om een nieuwe manier van denken, waarvoor je specifieke kennis en competenties nodig hebt”, benadrukt Treep. “Je moet een structurele cyclus organiseren en uitvoeren, waarmee je de pragmatische stappen zet om risico’s te monitoren en te beheersen. Dat betekent dat je moet kunnen uitzoomen uit de dagelijkse praktijk van advisies en incidentenmanagement. Het vraagt om een helicopterview. Welke risico’s zijn er? Welke beheersmaatregelen zijn dan nodig? Hoe effectief zijn deze maatregelen in het verminderen van risico’s?

achtergrond visual privacy

Start klein

Zoek als DPO of (senior) Privacy Officer de verbinding met (interne) deskundigen op het gebied van risico’s, adviseert Treep. “Risicomanagement is een andere competentie dan het adviseren over de AVG. Je moet je gaan bekwamen in monitoring, audits en interviews. Je moet ook ontwikkelingen periodiek monitoren en systematisch toetsen, en vervolgens de uitkomsten van analyses vertalen naar een dashboard dat compliance tastbaar maakt. Idealiter maak je hierbij gebruik van de cultuur, het gedachtengoed en het denkkader van riskmanagement binnen de organisatie. Plus van de tooling om snel en efficiënt te werken.”

 

Werk ook samen met collega’s die goed op de hoogte zijn van privacy, voegt Treep toe. “Samen met Privacy Officers en Privacy Champions heb je een beter beeld van de risico’s dan als je alleen vanuit de DPO-rol kijkt. Start gerust op kleine schaal. Misschien heb je niet meteen zicht op alle risico’s. Focus dan eerst op de grootste uitdagingen. Met bestaande risicoraamwerken, zoals het Privacy Control Framework van NOREA, kan je de totale AVG-compliance toetsen, maar dat is heel veelomvattend.” Omdat risicomanagement & control geen eenmalige exercitie zijn, is het ook mogelijk om de monitoring stapsgewijs op te bouwen en uit te breiden.

 

Hands-on

Een succesvolle inzet van risicomanagement voor dataprotectie en privacy compliance vraagt om een daadkrachtig beleid én daadkrachtige professionals. Dat is het uitgangspunt van de Outvie-leergang Senior Privacy Professional, die zich richt op de leiderschaps- en managementvaardigheden van Privacy Officers, Functionarissen voor de Gegevensbescherming, legal counsels, security officers en andere professionals die (mede)verantwoordelijk zijn voor dataprotectie. In de vijfdaagse leergang, die speciaal is ontwikkeld voor privacy professionals met drie tot vier jaar ervaring, komen thema’s aan bod zoals stakeholdermanagement, draagvlak, persoonlijke effectiviteit, leiderschapscompetenties en risk control. In presentaties, cases en opdrachten nemen hoofddocent Jean Paul van Schoonhoven en diverse gastdocenten de deelnemers mee in de complexe situaties waarin zij – met de juiste kennis en skills – het verschil kunnen maken.

 

Samen met Marjolein Wagemans, Group Data Protection Officer van Just Eat Takeaway, deelt Treep tijdens de leergang Senior Privacy Professional zijn expertise en ervaringen over risicomanagement & control. In zijn presentatie vertelt Treep over verschillende soorten risico’s, de waarde van audits, de besluitvorming rond risico-analyses, de rolverdeling bij een risico-gebaseerde aanpak van dataprotectie, de uitdagingen van compliance in crisissituaties en de impact van een reorganisatie op privacybeleid en -governance.

 

 

Risicomanagement hoort bij privacy

“Risicomanagement & control worden in veel opleidingen niet uitvoerig behandeld, maar het onderwerp hoort bij de groei van de privacyvolwassenheid van een organisatie”, zegt Treep. “Voor risicogestuurd werken moet je even uit de dagelijkse drukte stappen, en daar kom je natuurlijk pas aan toe als de basis op orde is. Daarom past een thema zoals risicogericht werken ook echt bij de rol van een senior privacy professional, die immers overzicht heeft over verschillende deelthema’s van dataprotectie. In de Outvie-leergang worden de issues heel hands-on behandeld, door docenten met veel praktijkervaring vanuit verschillende disciplines. De interacties tijdens de trainingsdagen maken de opleiding extra waardevol: naast de kennisoverdracht is er veel ruimte om als deelnemers onderling te sparren en elkaar te challengen.”

 

Doorgroeien

“Risicomanagement is voor buitenstaanders soms wollig en lastig – en het is een van de minst sexy aspecten van de AVG. Je zult dus niet altijd met applaus worden ontvangen als je gaat toetsen of beheersmaatregelen op orde zijn”, drukt Treep (senior) Privacy Professionals op het hart. “Draagvlak bij het management is dan ook heel belangrijk. Verder kan het helpen om de uitvoering zo makkelijk mogelijk te maken, bijvoorbeeld door aan te sluiten bij bestaande procedures en laagdrempelig te beginnen. Als je dan met dezelfde groep collega’s elk half jaar dezelfde onderwerpen oppakt, en er iedere keer een aantal topics aan toevoegt, dan groei je toch consequent door. En dan wordt het uiteindelijk echt makkelijker en leuker.”

 

Tijdens de leergang Senior Privacy Professional komt u alles te weten over effectief risicomanagement en andere topprioriteiten om als professional in uw organisatie het verschil te maken voor dataprotectie en privacy compliance. Bekijk voor het volledige programma en de startdata de website van Outvie.

Download de brochure

Share

Outvie logo