Weten wat ‘toezichthouden’ inhoudt is net zo belangrijk als juridische kennis hebben van de AVG

De volwassenwording van de DPO/FG en het onafhankelijk toezicht houden zijn twee issues waar veel organisaties tegenaan lopen. Hoe volwassen is de DPO/FG-functie, hoe kunnen DPO/FG’s zich nadrukkelijker als toezichthouders profileren en wat zijn complicerende factoren bij de positionering als FG?

We vroegen het aan Marjolein Louwerse, FG bij de Nationale Politie en Deniz Elings, Sr Business Risk Partner bij APG. Marjolein neemt deel aan het panel: Onafhankelijk toezicht als FG en Deniz aan de sessie: Automatische besluitvorming in de praktijk tijdens het Outvie Dataprotectie & privacycongres 2023 op 28 en 29 september.

Wat is het belang van het Dataprotectie & Privacy Congres en waarom mag je dit niet missen?

Dat dataprotectie belangrijk is staat inmiddels niet meer ter discussie, maar het blijft lastig de ontwikkelingen te vertalen naar je eigen organisatie en werkveld. En net wanneer je denkt dat je helemaal ‘bij’ bent, is er weer nieuwe jurisprudentie die nieuw licht werpt op het werkproces dat je net doorgelicht (of ingericht) hebt. Op dit congres komen de diverse ontwikkelingen en invalshoeken bij elkaar, waardoor je weer even helemaal up to speed bent.  

Marjolein Louwerse, FG, Nationale Politie

De meeste privacy congressen zijn internationaal georiënteerd. Het congres van Outvie richt zich veel meer op de Nederlandse en Belgische markt en neemt daarin het Nederlandse toezichtslandschap en meer Nederlandse casussen mee. Juist als (D)PO in Nederlands is dat bijzonder waardevol. Tevens het netwerk.

Deniz Elings, Sr Business Risk Partner, APG

Waarin onderscheidt dit event zich van andere events?

De diversiteit in aanbod van onderwerpen en de brede invalshoek rond gegevensbescherming, privacy, technologie (AI, algoritmes) en ethiek.

Marjolein Louwerse, FG, Nationale Politie

Voornamelijk op NL en BE markt gericht en behandelt specifieke casussen relevant voor deze jurisdicties. Omdat elk land eigen omgangsvormen en gebruiken heeft, is informeel contact met vakgenoten uit de eigen regio van belang voor hoe je het beste je organisatie en processen kan inrichten.

Deniz Elings, Sr Business Risk Partner, APG

Naar welk onderwerp en/of sprekers kijkt u het meeste uit?

Certificering als compliance-instrument en de rol van de FG in relatie tot de andere ‘beroepsgroepen’ binnen het werkveld gegevensbescherming, zoals de CISO en de Chief Privacy Officer (CPO).

Marjolein Louwerse, FG, Nationale Politie

• Hugo Pot (rabo), is een mooie organisatie
• Hendrik Schimmelpennick van der Oije (benieuwd naar de privacy insteek van FOXIT)
• Nasim Ahmadi (Amsterdam heeft veel interessante privacy vraagstukken)

Deniz Elings, Sr Business Risk Partner, APG

Wat zijn belangrijke ontwikkelingen en hoe gaat u daar bij uw sessie op in?

FG’s zijn toezichthouders. Dat waren ze volgens de wet altijd al, maar het is lastig toezicht houden op iets dat nog niet is vormgegeven… Met het volwassener worden van gegevensbeschermingsbeleid bij organisaties komt er meer ruimte voor FG’s om zich nadrukkelijker als toezichthouder te profileren. Dat levert dilemma’s op en aanvullende vragen ten aanzien van de positionering van FG’s. Complicerende factor is dat FG’s zelden eigenhandig hun eigen positionering kunnen bepalen en dus afhankelijk zijn van de organisatie waar ze nu juist toezicht op houden.

In de panelsessie die ik heb met Artan Jacquet-Overhaus (ex-Universiteit Utrecht) en Elske Feenstra (VodafoneZiggo) zou ik willen verkennen welke mogelijkheden FG’s én hun organisaties hebben om -soms onder niet ideale omstandigheden – toch een weg te vinden om een goede verstandhouding te ontwikkelen. De kunst is niet op elkaars stoel te gaan zitten en duidelijk verwachtingen uit te spreken.

Daarnaast kunnen FG’s zich laten inspireren door ervaringen van andere toezichthouders. “Toezicht” als zodanig is een oud en rijk werkveld waar FG’s uit kunnen putten. Wat mij betreft is het weten wat ‘toezichthouden’ inhoudt net zo belangrijk als juridische kennis hebben van de AVG. Toch is hier nog weinig aandacht voor.

Een andere belangrijke ontwikkeling is de opkomst van de relatief nieuwe functie van Chief Privacy Officer (CPO) waardoor het nóg belangrijker is te definiëren wat een FG is en doet. Laten we er vooral geen wedstrijd ‘belangrijk zijn’ van maken, maar ons richten op de inhoud van de rollen en het slim vormgeven ervan zodat we elkaar in het zadel helpen in plaats van tegenwerken.

Marjolein Louwerse, FG, Nationale Politie

De technologische ontwikkelingen gaan snel. Omdat het zo cool is duikt iedereen er direct in, waarbij helaas vaak de vraag wordt overgeslagen of het echt wat toevoegt voor een organisatie. Ik merk in de praktijk dat zaken als AI regelmatig niks toevoegen en alleen tot meer werk, complexiteit en meer risico’s leiden, maar men blijft het dan doen want het is cool en wil geen gezicht verliezen. Het blijft daarom van belang om mensen te wijzen op dat het gebruik van nieuwe technologie ten dienste van de mens moet staan. En dus toegevoegde waarde moet hebben die opweegt tegen de nadelen. Er is wat mij betreft meer behoefte aan het nuchtere Hollandsche boerenverstand. Dit komt ook terug in het verhaal van Fouad en mezelf. Ik zit dan zelf op de verschillende soorten bias en wat je daar mee/tegen kan doen.

Deniz Elings, Sr Business Risk Partner, APG