Weblogbericht | 28-03-2023 | O&P Rijk | Advocaten en Adviseurs Arbeidsrecht

Wat voor achtergrond moet je hebben om privacy officer te kunnen worden? Is er een studie voor?

"Privacy Officers heb je in alle vormen, maten en leeftijden. Toch ben ik blij dat ik mijn gereedschapskist heb mogen vullen met het uitoefenen van functies zoals Projectmanager, leidinggevende en management consultant. Dat maakt van mij een ‘veranderaar’ waarbij ik gemakkelijk kan communiceren met techneuten, juristen, bedrijfsvoering adviseurs en managers". 

"In 2017 heb ik post-HBO gedaan op Privacy Management (CIPM) en ben gecertificeerd Functionaris Gegevensbescherming (Data Protection Officer). Je hebt diverse en hele mooie opleiding binnen mijn vakgebied. Privacy Officers stromen vaak door uit de IT (informatiebeveiliging), rechten (privacyrecht) en bedrijfskunde. De vooropleiding is niet heel relevant, maar juridische kennis op hbo- of wo-niveau is wel erg belangrijk".
 

Waar komt je fascinatie voor dit vakgebied vandaan?

"Het is in één woord PRACHTIG! Als Privacy & Security Officer zie ik erop toe dat O&P Rijk en alle betrokken Business Units de privacywetgeving naleven en ook dat de informatiebeveiliging in een continu verbeterproces naar een hogere maturiteit komt. Dat bereik je door collega's te adviseren, workshops te geven (heerlijk interactief voor de klas staan) en de directie te ondersteunen in het uitvoeren van het privacy- en informatiebeveiligingsbeleid. Ik kom dus door de hele organisatie heen en beweeg mij op zowel op strategisch, tactisch en operationeel niveau. Dáárom is het zo belangrijk dat onze bedrijfsvoering goed op orde is zodat wij onze (gespecialiseerde) dienstverlening kwalitatief en bovenal veilig kunnen verrichten. De werkagenda van staatsecretaris Van Huffelen geeft ons wind in de zeilen t.b.v. de digitalisering die in moordend tempo plaatsvind. Never a dull moment"!

Je schrikt vast wel eens van het gebrek aan medewerking/inzicht van medewerkers. Heb je mooie anekdotes of leerzame inkijkjes voor ons?

"Mijn vakgebied brengt ontzettend veel integriteit met zich mee. Integriteit heeft voor ons team 2 definities namelijk:

1. Integriteit is de persoonlijke eigenschap, karaktereigenschap, van een individu die zorgt dat de betrokkene eerlijk en oprecht is en niet omkoopbaar;
2. Het is een kwaliteitskenmerk van data in de wereld van informatiebeveiliging. Betrouwbaar, juist, volledig, tijdig en geautoriseerd.

Het waarborgen van gedrag binnen de organisatie in relatie tot beschikbaarheid, integriteit en vertrouwelijkheid van data is echt een opgave. In de huidige digitalisering zie ik het ook als verantwoordelijk dat iedereen mee kan komen. We hebben echt een populatie die nog niet of onvoldoende ‘digifit’ is maar natuurlijk ook ‘tech savvy’ mensen om ons heen (hackers). Jij als individu bent niet vaak het doel tijdens je werk, wel in privé trouwens. 

Het doel van kwaadwillende is vaak heel anders dan waar jij data of persoonsgegevens voor hebt verzameld en mogelijk niet veilig genoeg hebt bewaard. Om een voorbeeld te noemen; wij hebben collega’s werken in Penitiaire Inrichtingen (PI) waarin duistere figuren het gemunt hebben op de gegevens van 155.000 ambtenaren om hen onder druk te zetten of te chanteren. Ik kijk dus niet vaak naar het persoonlijk doel van een collega maar wat ik met de verzamelde gegevens kan aanrichten. 

Dat is natuurlijk een beetje een beroepsdeformatie, snap ik, maar als ik laat zien dat ik met gemiddeld 53 seconden in jouw smartphone kan komen en welke schade ik dan kan aanrichten in jouw dagelijks bestaan . . . dan voel jij je opeens heel kwetsbaar. Dus, bescherm jezelf maar ook je collega’s en ga niet te makkelijk om met partijen buiten de Rijksoverheid of “gratis” software. Het is niet gratis, jij bent het product of de toegang tot meer".
 

Wat wij zelf tegenkomen in de dagelijkse praktijk is dat het tegenwoordig lijkt dat je voor elk gebruik van persoonsgegevens toestemming moet vragen, of valt dat in de praktijk wel mee? Als het gaat om personeel, dan wordt er nogal wat aan persoonsgegevens verwerkt.

Bert vindt dit een goede vraag. "Het valt zeker niet mee! Het vragen van toestemming voor de verwerking van persoonsgegevens moet worden gezien als ‘last resort’. Zie het als de vluchtstrook op de snelweg, fijn dat die er is maar je wilt er niet staan want dan heb je problemen. Vanuit de telecomwet is iedereen wel bekend met de opt-in / opt-out procedure van de “vervelende” cookieverklaringen van websites. Maar toestemming geven moet dus een actieve en bewuste handeling zijn (een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting). Een organisatie/bedrijf moet dat ook nog eens kunnen bewijzen of aantoonbaar maken. Daar komt bij, waar je vandaag toestemming voor geeft kun je morgen weer intrekken. Dat is immers jouw recht. 

Mijn advies:

• Verwerkt O&P Rijk persoonsgegevens ga dan na op basis van welke grondslagen de persoonsgegevens worden verwerkt, of deze grondslagen de juiste grondslagen zijn én of er nog aanvullende wettelijke eisen hieraan gebonden zijn. Daarnaast, bepaal welke verwerkingen op deze grondslag worden gebaseerd, hoe je het intrekken hiervan faciliteert voor betrokkenen en welke gevolgen dit heeft voor de O&P Rijk organisatie.
• Zorg dat je de toestemming goed regelt.  Liggen alle verwerkingsprocessen vast en is duidelijk wie daarvoor verantwoordelijk is? Maar ook het vervangen van oude hard- en software, het toepassen van verbeterde, nieuwe, (beveiligings) technieken en oplossingen. Allemaal mooie kansen om onze organisatie productiever en overzichtelijker te maken".

Heb je werknemers meegemaakt die zich beroepen op schending van de AVG door de werkgever? Hoe gaat dat in zijn werk, waar moet een leidinggevende dan rekening mee houden? En wat had dat voor gevolgen?

"Ja, regelmatig zelfs. Dat komt natuurlijk ook omdat wij in een P-Domein dienstverlening uitvoeren. We zijn groothandelaar in persoonsgegevens en moeten juist daarom extra waakzaam zijn. Toch schat ik in dat niet iedereen de weg (nog) weet te vinden naar ons team of dat de schending of klacht via een andere route wordt behandelt of afgedaan. Voor iedereen maar vooral leidinggevenden; maak melding en betrek z.s.m. de Privacy Officer! Soms zijn we er voor ‘damage control’ maar altijd met de insteek dat we als organisatie hiervan (willen) leren en het dus beter doen". 

"De gevolgen? De AP kan een boete opleggen aan organisaties die de AVG overtreden. Een boete is maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Maar eerlijk, ik vind de gevolgen van imago-schade of negatieve publiciteit mogelijk nog erger. Ik ken bedrijven, en eigenaren daarvan, die na 20 jaar keihard werken hun bedrijf konden opdoeken door één hack of datalek. Vertrouwen van de klant verloren, geen inkomsten meer, stress thuis en zelfs een huwelijk kapot. Maar we kennen inmiddels allemaal wel de negatieve verhalen, datalekken of incidenten rondom de (Rijks)overheid".

"Wat  volgens mij nog veel beter kan en moet is de ‘verantwoordingsplicht’. Een weinig besproken consequentie van het non-compliant zijn met de AVG is de bestuurdersaansprakelijkheid. Correcte naleving van de AVG is uiteindelijk de verantwoordelijkheid van de bestuurder. De AP heeft derhalve de mogelijkheid om de bestuurders van een organisatie een persoonlijke boete op te leggen. Het niet melden van een datalek wanneer dit wel verplicht was, kan een grondslag vormen om als bestuurder persoonlijk aansprakelijk gesteld te worden".

"Dat zet ons team/mijzelf soms in een benarde positie. De FG van BZK heeft, als handhaver van de wet, een beschermd beroep. Wij niet. Dus ik ben enerzijds het verlengstuk van de FG of de CISO BZK maar anderzijds vertegenwoordig ik de O&P Rijk organisatie. Tja, ben ik dan een “lastig mannetje”? Nee, ik stel wél lastige vragen en stel mogelijk confronterende analyses op. Maar maak van mij geen ‘klokkenluider’ door bewust nalatig te zijn of een hoog of zwaarwegend (risico = kans x impact) risico te accepteren als dit niet kan want mijn integriteit blijft immer hoog. Comply or Explain.

Wat is het eerste dat je moet doen bij een datalek? En wat is een datalek of wat kan al een datalek zijn? Men denkt vaak dat een datalek groots en meeslepend moet zijn, maar dat is volgens ons niet zo. Hebben wij überhaupt datalekken bij O&P Rijk gehad?

"Datalekken ook zo’n belangrijk onderwerp, hier is zelfs een meldplicht! Het taboe of fabel dat je ontslagen wordt als je een datalek meldt of veroorzaakt is natuurlijk nonsens, zeker arbeidsjuridisch. Maar moet ik helaas nog veel te vaak zeggen: Melden, altijd doen"! 

"Bij een datalek gaat het om vernietiging, verlies, wijziging, of het delen van persoonsgegevens zonder dat dat de bedoeling was. Het ‘probleem’ of ‘fout’ zit dan ook vaak tussen het beeldscherm en de rugleuning. Het meest voorkomende type datalek is het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (65% van de meldingen). Dit kan bijvoorbeeld een mail of brief met gevoelige gegevens zijn die bij de verkeerde persoon terecht is gekomen en is geopend. Andere voorbeelden: cyberaanvallen (incl. ddos-aanvallen), e-mails verzonden naar verkeerde of te veel adressen, gestolen laptops, bestanden die worden verzonden naar privé omgeving van werknemers (makkelijk even printen thuis, toch?) en verloren USB-sticks". 

"Bij een melding doen we onderzoek en creëren we overzicht op de situatie of het incident. We nemen maatregelen of adviseren welke maatregelen jij onmiddellijk moet nemen (op basis van het risico). Soms moeten we een risico analyse uitvoeren of een impact assessment maken. Daarnaast bepalen we of we melding moeten doen aan de Autoriteit Persoonsgegevens (AP) en we leggen het vast in ons register. In sommige gevallen moeten ook de betrokkenen (de personen van wie gegevens worden gelekt) op de hoogte worden gebracht".

"En ja, we hebben behoorlijk wat datalekken bij O&P Rijk maar helaas wordt dit in nog veel gevallen niet gemeld. Bij sommige BU’s staat zelfs de teller op nul, onmogelijk. Gemiddeld verwacht ik 5 stuks per maand per organisatieonderdeel".

Laatste vraag: Wat hebben wij niet gevraagd dat jij nog graag wilt vertellen?

"Nodig ons alsjeblieft uit om presentaties/workshops te geven om ‘awareness’ (bewustzijn) te vergroten. Niet alleen leuk om met elkaar te beleven want er is altijd interactie en er zijn veel vragen, ook leerzaam. Zowel voor de werkomgeving maar ook privé of thuissituatie".

"We zijn al een tijdje aan het lobbyen om bij het ‘onboardingsproces’ tijd te krijgen om nieuwe medewerkers wijs te maken in de wereld van privacybescherming en informatiebeveiliging. Het ‘offboardingsproces’ is ons hoofdpijndossier: rechten en autorisaties op systemen van mensen die vertrokken zijn, accounts die nog actief zijn, toegangspassen die niet zijn ingenomen, vervuiling van data op onze netwerkschijven . . . je kunt het zo gek niet bedenken. Ik kom zelfs medewerkersprofielen tegen die al jaren met pensioen zijn. Helaas stuurt onze organisatie nog onvoldoende een dergelijke bewustzijnscampagne. In de praktijk is gedrag allesbepalend en zijn medewerkers de belangrijkste schakel maar voelen leidinggevenden zich nog onvoldoende eigenaar van het onderwerp ‘privacy’. Als medewerkers top-down wordt opgelegd hoe zij moeten handelen, gaat het vroeg of laat fout. Zeker als processen en context veranderen in het tempo waarin O&P Rijk en onze dienstverlening verandert. Iedereen heeft daarin een rol én verantwoordelijkheid en samen zijn we de ‘human firewall’. 

"Goed omgaan met ieders privacy is een randvoorwaarde voor een goede reputatie van O&P Rijk. Het is een manier om onze klanten aan ons te binden. Het gaat om zorg, aandacht en kwaliteit. Medewerkers voelen zich daar meer door aangesproken dan door een AVG ‘omdat het moet’. Ook ethiek speelt hierbij een belangrijke rol: we doen dit niet omdat we het moeten, we moeten het vooral zelf willen. Zorgvuldig omgaan met de privacy van onze klanten binnen de Rijksoverheid, (externe) stakeholders en medewerkers is het enige juiste om te doen".

Gelukkig zit het bij juristen en advocaten al in de genen om met respect en analytisch vermogen om te gaan met wet- en regelgeving en hebben ze oog voor de complexiteit. Ze zijn wat minder ‘burgerlijk ongehoorzaam’ en hechten veel waarden aan zorgvuldigheid, integriteit en ethiek. Vanuit ons Privacy & Security Team waarderen we dat! Onze tijd wordt vaak opgesoupeerd door de zaken die fout gaan of mitigerende maatregelen die gerealiseerd moeten worden. Dan vergeten we soms ‘de beste jongetjes & meisjes uit de klas’ de positieve aandacht te geven die ze verdienen.

En met deze lovende woorden, sluiten we dit leerzame interview af!