Een dag uit het leven van een Data Protection Officer

Data protection impact assessment

Een doorsneedag begint 's ochtends om half negen op kantoor bij een klant. Vergaderingen volgen elkaar daar naadloos op en nemen de hele ochtend in beslag.

Het is belangrijk om je goed voor te bereiden op deze vergaderingen. Je hebt te maken met professionals: CFO's, juristen, CIO's, CEO's, ICT-ontwikkelings- en ICT-infrastructuurbeheerders, GDPR-coördinatoren, … Allemaal mensen die weten waar ze het over hebben en die dat ook van jou verwachten!

Een recent voorbeeld van een dergelijke ochtend is met een klant waar een data protection impact assessment (DPIA) moet worden afgerond. Een DPIA is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen. We gebruiken de applicatieaanpak CNIL als methodologie. We bespreken die dag de gevolgen van de 'DPO-validatiestap' die ik de dag daarvoor heb voorbereid. De vergadering wordt bijgewoond door de COO, de HR-manager en ikzelf. Ondanks dat de DPIA geen 'hoog of zeer hoog risiconiveau' heeft opgeleverd voor de betreffende verwerkingsactiviteit, moeten we wel bepaalde acties of maatregelen doorvoeren. Er zijn namelijk enkele fouten in het proces aangetroffen die kleinere risico’s kunnen opleveren. Ik heb als Data Protection Officer in kaart gebracht welke acties er zijn vereist om de geregistreerde risico's te beperken. Die acties moeten nu worden besproken, goedgekeurd en toegevoegd aan de actielijst met deadlines en verantwoordelijkheden.

Ruimte voor concessies...

Het is belangrijk om te weten dat een DPO een adviserende rol heeft en niet gemachtigd is om beslissingen te nemen. Als in dit specifieke geval de COO of de HR-manager niet akkoord gaat met één of meer van mijn aanbevelingen en we het niet eens kunnen worden over een alternatief met hetzelfde resultaat, dan moet het bedrijf de bezwaren schriftelijk vastleggen en toelichten waarom het advies van de DPO niet is opgevolgd.

Onze vergadering verliep gelukkig goed en we hadden een zeer zinvol gesprek over de beperkende maatregelen en zijn uiteindelijk tot een interessant compromis gekomen. Dit is waarom zo'n gesprek zo belangrijk is: het is essentieel dat externe Data Protection Officers inzien dat bedrijven zelf veel beter inzicht hebben in hun bedrijfsprocessen, zakelijke risico's, bedrijfswaarde en commerciële propositie dan zij. DPO’s moeten dus naar de klant luisteren. Maar, en dit is een heel belangrijke maar, dit betekent niet dat we de regels kunnen omzeilen! Het is ons in dit geval gelukt om tot een goed compromis te komen, maar in andere gevallen (met een andere klant) zijn we daar niet in geslaagd. Mijn advies werd niet geaccepteerd en de reden hiervoor werd zoals vereist schriftelijk vastgelegd.

De vergadering was eerder afgelopen dan verwacht en ik had nog wat tijd over. De marketingbeheerder wilde de mogelijke gevolgen van de GDPR bespreken voor de volgende marketingcampagne die nog in ontwikkeling was. Die campagne zelf was erg fraai en creatief, maar er zou veel interactie zijn met (potentiële) klanten en de GDPR zou daar zeker bepaalde gevolgen voor hebben. Dit gesprek duurde iets langer dan “nog één korte vraag”.

... en voor context!

Ik ging die middag naar ons kantoor. Ik bereid me op kantoor meestal voor op gesprekken met de klant, ik beoordeel overeenkomsten over gegevensbescherming, bereid beleidsregels, presentaties, trainingen (zoals 'Privacy by design' voor IT-ontwikkeling) en DSAR-concepten (Data Subject Access Request) voor. En ik beantwoord vragen van onze klanten:

• "Mij is gevraagd om ... Kan ik dit doen?"
• "Ik wil deze functionaliteit toevoegen aan onze website. Heeft de GDPR hier gevolgen voor?”
• "We willen graag een MDM-tool implementeren. Is dat in orde?”
• "Een ex-werknemer heeft een DSAR (verzoek tot toegang) ingediend om specifieke gegevens op te vragen. Moeten we dit verstrekken?"

Dit zijn uiteraard slechts enkele voorbeelden. Er zijn in werkelijkheid veel meer en zeer diverse vragen die door uiteenlopende bedrijven met uiteenlopende processen, culturen en beleidslijnen worden gesteld. Dezelfde vraag kan, afhankelijk van de situatie of het bedrijf, ook op uiteenlopende manieren worden beantwoord. Kennis van de regelgeving (en dit omvat meer dan alleen de GDPR) is een basisvereiste, maar is helaas niet voldoende. Een van de meer uitdagende aspecten is het interpreteren van specifieke situaties en weten hoe je die binnen uiteenlopende bedrijven zo kunt uitleggen dat mensen het accepteren. Niet iedereen is tenslotte blij met de GDPR... 💔

Data Protection Officer: een gevarieerde en uitdagende job

De functie Data Protection Officer is bijzonder interessant en uitdagend als je geïnteresseerd bent in bedrijfsprocessen, gegevensbeveiliging, levenslang leren, levendige discussies en het delen van juridische inzichten en interpretaties. De functie draait voor een groot gedeelte om de GDPR, maar is veel veelzijdiger dan dat. Ik hoop dat ik jullie een idee hebben kunnen geven van wat een DPO dagelijks doet!