Nuttige lessen uit ons ronde tafel gesprek met DPO's

Nuttige lessen uit ons ronde tafel gesprek met DPO’s

Samen met één van onze partners, Approach Belgium, en net vóór de Corona uitbraak, brachten we een aantal DPO’s rond de tafel voor een gesprek over hun uitdagingen en ervaringen.

Ze zijn werkzaam in zeer diverse sectoren en in middelgrote tot grote organisaties.

De kok van Hof Ter Musschen verwende de aanwezigen ondertussen met een smakelijk lunchmenu. De vragen en topics die werden voorbereid waren niet nodig. Het werd een vlot en open gesprek waar iedereen voldoende aan bod kon komen. In wat volgt leest u waar de uitdagingen liggen voor deze mensen en welke tips zij aan elkaar meegaven.

Men staat er niet alleen voor

Hoewel bijna alle aanwezigen de enige persoon binnen de organisatie zijn die enkel met data privacy bezig is, stelt men zich veel vragen over hoe de rest van de organisatie erbij te betrekken en betrokken te houden. Zonder lukt het niet.

Er zijn de business owners, of noem ze ambassadeurs of data privacy coordinatoren, die de kennis bezitten over de operationele processen en vooral, de beveiliging hieromtrent. Hoe bij deze mensen data privacy op de agena houden?

Er is de interactie met de CISO (Chief Information Security Officer) en hoe is de relatie met hiermee? De CISO staat in voor de veiligheid van de informatie, de DPO voor die van de persoonlijke informatie. Wordt de DPO rol dan aanzien als een second line of defence? In dat geval is er meer duidelijkheid nodig over de samenwerking tussen CISO en DPO. Nu blijven beide personen wel eens naar elkaar kijken of verwijzen naar elkaar door.

En dan er zijn natuurlijk ook de derde partijen. Ook deze hebben een verantwoordelijkheid op te nemen. Het is niet altijd eenvoudig om bijvoorbeeld verwerkersovereenkomsten geformaliseerd te krijgen en al zeker niet om na te gaan of de bijkomende maatregelen gerespecteerd worden.

Er wordt benadrukt dat in de relatie met al deze actoren de DPO een adviserende rol heeft die geen beslissingen neemt. Het blijft zeer belangrijk om de verschillende actoren bewust te maken van hun accountability.

Boetes vermijden

Natuurlijk komt de topic ter sprake. Er is grote eensgezindheid dat als men kan aantonen dat er op voldoende wijze gedocumenteerd wordt (eenvormige structuur, centraal beheerd en up to date) en dat er correct en binnen gevraagde termijn gereageerd wordt op vragen van betrokkenen en de autoriteit, de kans op een boete redelijk beperkt blijft.

Meer ageren op basis van de risico’s

Bij het op de radar houden van data privacy bij business owners leert de ervaring dat die beter reageren op het aantonen van de impact op hun business en de risico’s ervan dan het zwaaien met het risico op boetes. De mogelijkheid dat de verwerking van de gegevens wel eens stilgelegd zou zou kunnen worden heeft duidelijk meer effect. Als men dan toch op dovemansoren blijft stoten, dan wordt het audit comité wel gezien als een effectief forum om bepaalde zaken erdoor te krijgen.

De vraag wordt gesteld of ook bij het komen tot overeenkomsten met derde partijen en het nakomen van de overeenstemmende maatregelen niet meer risico gebaseerd dient te worden gewerkt. In dat geval dient het kritische belang van de uitvoering van de maatregelen worden bekomen van de business owners en de CISO. Enkel op die manier kan er een risico aan gekoppeld en de juiste prioriteit aan toegewezen. En hier wil het schoentje wel al eens wringen.

Nuttige tips voor elkaar

Tenslotte werden er ook wel wat tips uitgewisseld onder elkaar. We delen er een paar met u.

Zorg ervoor dat er iemand van de directie betrokken blijft en hou de lijnen kort
Blijf pragmatisch bij de uitwerking van processen – ze moeten uitvoerbaar blijven voor de werknemers
Neem elke gelegenheid te baat om dingen uit te leggen bijv. een incident niet alleen oplossen maar ook als gelegenheid zien om dingen uit te leggen en impact te duiden
Hou rekening met het feit dat veel incidenten voortkomen uit menselijke fouten
Een zeer concrete tip over de richtlijnen op vlak van cookies: men kan handige tips rond instellingen van Google Analytics vinden op de website van de GBA.

We sluiten af met een lekker dessertje en koffie/thee en gaan uit elkaar met de vraag van een aantal DPO’s om dit binnen zes maanden nog eens opnieuw te doen.

Dat valt zeker te overwegen. Wenst u in dat geval een uitnodging te krijgen? Laat ons dat dan weten via omniprivacy@omninet.be. Natuurlijk zullen we uw email adres alleen gebruiken voor deze doeleinden.