Wet- en regelgeving rond data en privacy gaat om meer dan compliance

De privacy professionals en data officers van de toekomst kijken verder dan compliance. Het gaat ook om de maatschappelijke context en de waarden van de organisatie. Dat zegt Danny Hoekzema, examinator van de opleiding Certified Data Protection Officer (CDPO) en docent van de leergang Chief Data Officer en de actualiteitenreeks Next step privacy compliance van Outvie.

Data en privacy

Het juridische kader, de urgente vraagstukken en de actuele voorbeelden van onderzoeken, pilots en projecten. Daarover deelt Danny Hoekzema – advocaat, expert in privacy, data en digitale dienstverlening, en oprichter van advocatenkantoor The New Paradigm – zijn expertise met de deelnemers aan Outvie-opleidingen over gegevensbescherming en datagedreven werken. “Het is essentieel dat professionals die zich bezighouden met privacy en data voldoende op de hoogte zijn van alle Europese wet- en regelgeving. Welke regulering komt eraan? Wat is daarvan de achtergrond? Wat betekenen de nieuwe spelregels voor mijn organisatie?”

“Vooral in grote organisaties is het vervolgens belangrijk om goede afspraken te maken over wie verantwoordelijk is voor de aanpak”, voegt Hoekzema toe. “Waarvoor ben je als data officer aan zet? Welke taken liggen er juist op het bord van de Functionaris Gegevensbescherming (FG)? Waar begin je met datagovernance? Wanneer is er welke actie nodig om te groeien in compliance?”

Verder kijken dan privacy

Hoekzema vormt samen met Caroline Poerdibopoero de examencommissie van de tiendaagse Outvie-opleiding Certified Data Protection Officer (CDPO), die speciaal is ontwikkeld voor gevorderde privacy professionals en ervaren FG’s. Deelnemers die het afsluitende examen succesvol doorlopen, worden ingeschreven in het CDPO-register en mogen de titel CDPO voeren.

“De ontwikkelingen in de Europese wet- en regelgeving over data en Artificial Intelligence (AI) gaan razendsnel. Als privacy professional moet je je bewust zijn van de mogelijke impact op je organisatie. Welke stappen moet je zetten om goed aangehaakt te zijn op de ontwikkelingen? Wat mij betreft gaat het dan niet simpelweg om compliance. Privacy is immers een mensenrecht. Dat betekent dat je bij de omgang met data en gegevensbescherming verder kijkt dan dataprotectie. Wat is de maatschappelijke context van gegevensverwerkingen? Welke waarden zijn mogelijk in het geding?”

Organisatie-specifieke afwegingen

Hoekzema is naast examinator van de CDPO-opleiding ook een van de docenten van de actualiteitenreeks Next step privacy compliance, en hij verzorgt samen met Piek Visser-Knijff de module over wetgeving en ethiek in de achtdaagse leergang Chief Data Officer.

In zijn bijdrage aan de actualiteitenreeks Next step privacy compliance gaat Hoekzema in op anonimiseren en pseudonimiseren. “De actuele juridische ontwikkelingen roepen veel complexe vragen op. Bijvoorbeeld: in april heeft het Gerecht (van de Europese Unie) in een zaak van de Gemeenschappelijke Afwikkelingsraad (GAR) tegen de European Data Protection Supervisor (EDPS) een uitspraak gedaan over anonimisering en pseudonimisering van persoonsgegevens. Daarmee zijn nieuwe vragen ontstaan over wanneer er nog sprake is van persoonsgegevens en wat er precies nodig is voor dataminimalisatie.” Inmiddels loopt er een beroep tegen de uitspraak bij het Europees Hof van Justitie van de Europese Unie.

De afwegingen rond thema’s zoals anonimisering en dataminimalisatie zijn sterk afhankelijk van de organisatorische context waarin je als privacy professional opereert, benadrukt Hoekzema. “Overheden stellen ambitieuze doelstellingen voor compliance. Dat creëert voor privacy professionals een heel specifiek krachtenveld. In bijvoorbeeld een snelgroeiend techbedrijf worden doorgaans andere risico-afwegingen gemaakt. Het gaat er dus om dat je als privacy professional voeling hebt met de concrete omstandigheden in de organisatie. Wat is de risk appetite? Hoe worden de kosten en baten van compliance ingeschat? Hoe wordt er gekeken naar het toezicht? Mijn advies is om niet alleen te letten op wat juridisch is toegestaan, maar vooral ook naar de strategische positie van de organisatie. Wat wil je met data? Wat vind je echt belangrijk aan dataprotectie? Vind je thema’s zoals het gebruik van gepersonaliseerde online advertenties en de verwerking van bijzondere persoonsgegevens consistent met de missie en visie van je organisatie?”

Data, compliance en duurzaamheid

Hoekzema startte in 2023 het advocatenkantoor The New Paradigm, dat het recht inzet om sociale en ecologische waarde toe te voegen. “We richten ons dus niet alleen op compliance, maar ook op de achterliggende waarden. Wat wil je met data doen? Wat zijn je drijfveren? Hoe kan je een organisatiestructuur ontwikkelen die klaar is voor een duurzame toekomst? Welke verwerkingen zijn bij uitstek geschikt om consumenten te verleiden om duurzamere keuzes te maken? Welke data heb je daarvoor nodig? Dat zijn vraagstukken waaraan privacy professionals zeker een bijdrage kunnen leveren.”

“Data is een energie-intensief product. Ik vind dat je daar als privacy professional of data officer ook een rol in hebt te spelen”, vult Hoekzema aan. “Met het oog op privacy compliance zijn soms al dataminimalisatie en dataverwijdering nodig. Maar opgeschoonde systemen verminderen ook energieverbruik. En je kunt overwegen om leveranciers van ICT-systemen en -applicaties te selecteren die datacenters gebruiken zonder een grote negatieve impact op de leefomgeving, bijvoorbeeld doordat er voldoende groene stroom voorhanden is. Ook het gebruik van AI en ICT-systemen brengt energieverbruik mee. Het is goed om je daarvan bewust te zijn voordat je aan de slag gaat met nieuwe toepassingen.”