“Hoe kom je van een Data Protection Officer af? Door geen persoonsgegevens te verwerken!”
Aansluitend aan de pauze is het de beurt aan Frederike Stikkelbroeck en Nynke Wisman van Akzo Nobel om te vertellen hoe zij privacy hebben ingericht in een internationale organisatie. Zij behandelen onder meer de rol en positie van de DPO binnen een internationale organisatie en laten een organigram zien. Ze stippen de Binding Corporate Rules (BCR) en het Privacy Shield aan. Een uitdaging is volgens de dames de erkenning van het belang van een DPO en zicht houden op wat er decentraal/lokaal gebeurt.
“Doorgifte naar US? Als partij gecertificeerd is volgens het Privacy Shield, ga dan maar met ze in zee.”
Dan is het tijd voor een paneldiscussie. Wolfje Mijnders (gemeente Veenendaal), Marel Rietman (ING), Rachel Marbus (KPN) en Jeanne Jacobs-Gilhuis (Schiphol) mogen vertellen over hun werkzaamheden in het bedrijfsleven en de publieke sector. Om iets te willen bereiken op het gebied van privacy is het van belang dat er personele bezetting is en commitment van bovenaf. Maar waar te beginnen? Begin bij het privacy statement (lijkt laaghangend fruit). De gehele wet moet eigenlijk in je privacy statement staan, maar de klant moet het ook nog begrijpen. En gaat de klant het lezen? ING test bijvoorbeeld bij de klant of de privacy statement werkt en of de klant het begrijpt.
Vervolgens maak je een inventarisatie van alle documenten die je in huis hebt. Wat hebben we aan persoonsgegevens en wat zijn de regels? Daarnaast is het belangrijk om aandacht te schenken aan awareness. Medewerkers moeten weten dat ze niet ‘zomaar’ een Excel-bestand vol gegevens kunnen versturen naar een leverancier. De gemeente Veenendaal speelt af en toe ‘Wie is de Mol?’ en stuurt een phishingmail rond, om te observeren hoeveel mensen op een link klikken die niet te vertrouwen is.
Na een uitgebreide lunch moeten we keuzes maken. Ik kies voor de documentatieplicht van Niels Westerlaken van Project Moore, maar had ook kunnen kiezen voor Saskia Laaper, Privacy adviseur bij de Nationale Politie. Zij had mij meer kunnen vertellen over gegevensuitwisseling. Niels behandelt met ons in sneltreinvaart de interne documentatieplicht en geeft antwoord op de vragen welke informatie een DPO moet vastleggen en op welke manier hij dit kan doen. Niels had maar een half uurtje om ons bij te praten, en mijns inziens was dit eigenlijk te kort. Maar de volgende keuze stond alweer op het programma: Communicatie door Anne-Martine Koetsier van T-Mobile of de Privacy Impact Assessment (PIA) door Theo van der Vleut van Alliander. Ik wil iets meer weten over de PIA en kies voor Theo. Hij behandelt de (verplichte) PIA onder de nieuwe AVG en het invoeren van privacy management. De PIA kan onder meer gebruikt worden bij nieuwe technologieën. Dat is ook een manier om in gesprek te gaan en kritische vragen te stellen. Theo refereert ook nog even aan de documentatieplicht: de informatie die vergaard wordt middels een PIA is de informatie die je nodig hebt voor het opstellen van een register.
Daarna is het tijd voor de ronde tafels. Ik kies als eerste rondetafel 3: Privacy als onderdeel van ICT/systemen. Dit was interessant en vanaf nu zal ik de beveiligingsupdate van mijn computer altijd meteen installeren in plaats van het dertien keer uit te stellen omdat het niet uitkomt. Vervolgens sluit ik aan bij rondetafel 1: Hoe krijgt u als PO draagvlak voor uw beleid? Daar leren we dat de boetebevoegdheid van de AP geen ‘unique selling point’ is. Als laatste kies ik voor rondetafel 2: Privacy als onderdeel van (werk)processen. Ik hoor dat sommige bedrijven een webpagina ‘onder water hebben staan’ voor het geval er een inbreuk is en deze pagina diezelfde dag nog online komt om betrokkenen te informeren.
Het laatste onderdeel van de dag is de Key-note. Maria Genova, auteur van het boek ‘Komt een vrouw bij de hacker’ - waar we allemaal een gesigneerd exemplaar van meekrijgen – vertelt op een enthousiaste en toegankelijke manier over hackers, phishing mails, sterke wachtwoorden en online informatie. Eenmaal thuis zal ik meteen mijn wachtwoorden veranderen, sla ik mijn wachtwoorden niet automatisch op, verwijder ik mijn gescande paspoort van mijn computer en installeer ik de laatste update van mijn besturingssysteem.
Vervolgens is het aan Rob Raven om ons bij te praten over blockchain, bitcoins en de impact op society. Het is een ver-van-mijn-bed-show, maar Rob weet het op een toegankelijke en duidelijke manier uit te leggen.
Al met al een overvolle maar geslaagde dag en in de trein terug naar huis begin ik vast in ‘Komt een vrouw bij de hacker’.
Dag 2 van de Dag van de Privacy Officer is bestempeld als workshopdag en start ik met een sessie ‘Succesvol beleid’ van Bart Witteman, Senior Manager bij Deloitte. Hij leert ons dat de optimale privacy organisatie wordt gevormd door de combinatie van governance, beleidsmaatregelen en procedures, technologie en mensen. Het is belangrijk om te kijken naar de organisatie en de context van de organisatie: strategie. Ondersteuning van Deloitte bij het inrichten van privacy heb je al vanaf €35.000.
Na de pauze vervolgt Danielle Adams de sessie ‘Succesvol beleid’. Op geheel eigen wijze brengt zij ons bij hoe zij privacy heeft ingericht bij Vebego. Met recht de beste presentatie van de dag! Ze vertelt ons waar zij tegenaan is gelopen en hoe zij het heeft opgepakt. Als privacy officer kun je niet zelf verantwoording nemen, je moet de verantwoording ook bij anderen neerleggen. Om privacy goed te kunnen inregelen, start je met informeren, overal mensen informeren. Danielle heeft in het hele bedrijf presentaties gegeven, om mensen te overtuigen om iets met privacy ‘te doen’. Vervolgens heeft ze de vraag gesteld hoe ze als bedrijf willen omgaan met privacy. Met vragen over budget, tijd en score. Ze leert ons dat je niet een 10 kunt scoren op alle onderdelen van privacy. Soms is een 6 ook voldoende. Daarna is ze een beleid op gaan stellen, met daarin specifieke kenmerken voor de organisatie. Danielle staat open voor alle vragen vanuit de organisatie. Ze plaatst alle gestelde vragen (FAQ) op sharepoint, zodat veel informatie duidelijk is voor de medewerkers. Een kleine laagdrempelige mogelijkheid om mensen aware te maken, leren we ook van haar: een pop-up maken in de e-mail. Wanneer medewerkers persoonsgegevens willen versturen per e-mail, verschijnt er een bericht dat deze e-mail conform de privacywetgeving niet handig is om te versturen. Op deze manier maakt een werknemer steeds bewuster gebruik van e-mail.
“Niet iedereen hoeft in de cc bij een e-mail”
Bij de volgende twee sessies had ik keuzestress: ‘Bewerkerscontracten’ of ‘Privacy by design’? ‘Privacy by design’ was opgedeeld in twee sessies. Na lang wikken en wegen heb ik besloten om de eerste sessie ‘Privacy by design’ bij te wonen en vervolgens aan te sluiten bij de sessie waarbij de omgang met de nationale toezichthouder wordt besproken.
Frank van Vonderen, consultant bij Verdonck, Klooster & Associates, staat midden in de modder voor wat betreft privacy. Hij legt ons uit dat Privacy by Design als standaard moet worden ingevoerd in de bedrijfsvoering en ICT. Privacy by Design houdt in dat je als organisatie al tijdens de ontwikkeling van producten en diensten ten eerste aandacht besteedt aan privacy verhogende maatregelen. Ten tweede houd je rekening met dataminimalisatie; zo min mogelijk gegevens verwerken. Stel de vraag: welke informatie heb je nu eigenlijk nodig? Heel veel informatie is niet noodzakelijk. En daarna: wanneer gooi je informatie weg? En als je het weggooit, is het dan ook écht weg? En hoeveel kopieën zijn er? Denk aan e-mail, DMS, Sharepoint, Netwerkschijven. Is dat allemaal noodzakelijk? Ik had zelf nog veel meer van Frank willen horen, maar de volgende sessie diende zich aan: Jeroen Jongelen en Marloes Koppelaars-Stubbe van KPN stonden te popelen om ons meer te vertellen over de nationale toezichthouder.
“Ik ken geen enkel vakgebied dat zo veeleisend is en tegelijkertijd zo onduidelijk”
Wat gebeurt er als de AP langskomt? wat kunnen ze en wat mogen ze? De AP heeft verregaande bevoegdheden, maar niet onbeperkt. Ze mogen onder meer alle bedrijfsruimten, terreinen en vervoersmiddelen betreden. Boeken en bescheiden inzien en kopieën maken. Maar ze mogen geen toegang tot ruimten of dossierkasten forceren of dossierkasten doorzoeken zonder toestemming. Een ieder wordt verplicht om mee te werken en zelfs de hulp van de politie kan worden ingeroepen. Vaak kondigt de AP een onderzoek aan na een inlichtingenverzoek. Aan de hand van dat onderzoek wordt een rapport opgesteld. Onderzoeken lopen via een vast patroon:
- Persbericht/blog;
- Informatieverzoek;
- Aankondiging onderzoek;
- Eén of meer bezoeken;
- Aanvullende vragen;
- Rapport voorlopige bevindingen;
- Zienswijze en aanpassen;
- Definitief rapport.
De AP verwacht dat de conclusies, gesteld in het definitieve rapport, worden doorgetrokken naar de rest van de organisatie. Breng in kaart wat de lessen zijn uit het onderzoek en implementeer deze in de business.
“Never let a good crisis go to waste”
Tijd voor de laatste sessie: ‘Security voor DPO’s’ of ‘DPO en internationaal beleid/organisatie’. Daar ik op het gebied van beveiliging nog heel wat te leren heb, heb ik de sessie over security bijgewoond. Deze zou in eerste instantie worden gegeven door David Vaartjes, maar helaas was hij afwezig. Dagvoorzitter Peter van Schelven heeft naar eigen zeggen een sessie ‘geïmproviseerd’. En ook al was deze sessie het laatste onderdeel van deze wederom lange dag, hij wist ons toch te boeien met zijn verhaal over security.
We sluiten de dag plenair af en na het drinken van een laatste borrel gaan we vol nieuwe informatie terug naar huis. Alles bijeengenomen vond ik het een geslaagd tweedaags congres. Je kunt het bijna wel een ‘cursus’ noemen. Ik heb veel praktijkervaringen en tips gehoord.
Nieuwsgierig geworden? Bekijk hier een korte sfeerimpressie.