Ervaring
De invoering van de Algemene verordening gegevensbescherming (AVG) bezorgde veel organisaties hoofdbrekens. Hoe konden ze hun bedrijfsvoering vóór 25 mei 2018 in overeenstemming brengen met deze Europese verordening? Paul Schraven - destijds accountmanager bij DPA Legal - kon al in een vroeg stadium uitkomst bieden. Vanuit DPA Legal had hij een ontwikkelpad voorbereid voor potentiële Privacy Officers. ‘De door ons opgeleide specialisten hebben veel organisaties geholpen met hun privacy-compliance. De kunst is om geen papieren tijger van de AVG te maken en te blijven inspelen op relevante ontwikkelingen. Daarom is het belangrijk om cyclisch te blijven evalueren hoe goed je het doet.’
Paul startte de privacy-activiteiten in 2016. ‘Met opdrachtgevers van DPA Legal sprak ik regelmatig over de marktontwikkelingen. Daarbij merkte ik dat veel organisaties hun privacy niet op orde hadden. Omdat het om een Europese wet ging, voorzag ik dat er veel vraag naar dit specialisme kon komen. In 2017 heeft DPA hier een aparte BV voor opgericht: DPA Privacy. Al snel had ik zeven medewerkers, maar nog geen opdrachten. Toen was ik wel even nerveus. Maar kort daarna ging het ineens hard en kwamen er ook andere aanbieders van privacyspecialisten op de markt. Na 25 mei 2018 leek de hype even voorbij, maar sinds 2021 worden we weer vaak gebeld door organisaties die de privacy-compliance van hun gegevensverwerkingen willen actualiseren en moderniseren.’
PDCA-cyclus
DPA levert specialisten in alles wat met privacy te maken heeft, vertelt Paul. ‘We volgen een vierfasenmodel voor het analyseren, adviseren, implementeren en evalueren. Uit onze analyse komt een rapport voort met conclusies en aanbevelingen op hoofdlijnen. Op basis daarvan bespreken we de stand van zaken en de risico’s met de klant. Vervolgens maken we een plan van aanpak en een begroting. Als de klant dit ziet zitten, gaan we de implementatiefase in. Daarna zorgen we voor een evaluatie zodat de resultaten eventueel bijgestuurd kunnen worden. Zo zetten we een Plan-Do-Check-Act-cyclus in om te zorgen voor een systematische aanpak van privacyvraagstukken.’
Steile leercurve
Paul Bonnemaijer vertelt hier graag meer over. Hij was een van de eerste privacy- en informatiebeveiligingspecialisten van DPA Privacy en ondersteunt opdrachtgevers zoals Syntrus Achmea en T-Mobile. ‘Na mijn studie besloot ik om niet in de advocatuur maar in de detachering te gaan werken. Het sprak me aan om verschillende cliënten te ondersteunen en een steile leercurve door te maken. Bovendien heb ik naast privacyrecht veel affiniteit met IT en de technische aspecten van de bedrijfsvoering. De grote uitdaging in dit vak is het stimuleren van organisaties om privacy-compliance te borgen. Dit vraagt naast verantwoorde omgang met persoonsgegevens ook om monitoren van risico’s en bijbehorende controls en goede samenwerking tussen privacy en informatiebeveiliging.’
Privacy-compliance
‘Het liefst regelen we het in één keer zo in, dat de organisatie de privacy-compliance zelf op orde kan houden. Dit doen we door aan te sluiten bij de aanwezige control frameworks of door een Privacy Control Framework in te bouwen. Daarna kunnen we desgewenst als externe auditor fungeren die eens in de drie tot vijf jaar de peilstok hanteert. De rest van de tijd kunnen organisaties zelf met interne controles toetsen hoe hun privacy-compliance ervoor staat.’
Informatiebeveiliging
Naast privacyrecht is Paul als privacy counsel ook goed thuis in informatiebeveiliging. ‘Het merendeel van onze privacyjuristen heeft kennis van informatiebeveiliging. We zijn geen ‘die hard’ juristen in ons werk, maar professionals die het denken langs de lijn van een wet- en normenkader beheersen. Cybercrime heeft een natuurlijke verbinding met het privacydomein. Ook hiervoor moeten passende technische en organisatorische maatregelen getroffen worden. Wij kijken bijvoorbeeld naar ISO 2700X-serie die toeziet op het organiseren en veiligstellen van informatie in organisaties.’
Kennisvragen
Wat zijn de nieuwe ontwikkelingen in deze markt? Paul Bonnemaijer vertelt dat technologische ontwikkelingen zoals artificial intelligence en geautomatiseerde besluitvorming veel impact op organisaties hebben. ‘Hierbij kijken we steeds naar de context waarin van dergelijke technologische ontwikkelingen gebruik gemaakt wordt en voor welk doel dat gebruik dient. Dan is er ook de problematiek van wereldwijde datatransport: dit is moeilijker geworden door uitspraken van het Europese Hof. Elke dag kan er een nieuw aandachtspunt bijkomen door een gerechtelijke uitspraak. Dit is een vakgebied dat niet stilstaat en daardoor krijgen we regelmatig nieuwe kennisvragen voorgelegd.’
Bijblijven
In dit dynamische vakgebied is het belangrijk om bij te blijven, benadrukt hij. ‘Dat betekent veel lezen: jurisprudentie, tijdschriften en het nieuws. We houden ons nu bijvoorbeeld bezig met het principeakkoord tussen de Europese Unie en de Verenigde Staten over het verwerken van persoonsgegevens in Amerika.’ Als business unit manager kijkt Paul Schraven samen met Paul Bonnemaijer doorlopend naar wat er nodig is om de kwaliteit van de professionals op het hoogste niveau te houden. ‘Zowel voor de privacy- als de informatiebeveiligingskant zitten we hier bovenop.’
De nieuwste kennis
Paul Bonnemaijer vertelt enthousiast over de specialisatieopleidingen van Grotius Academie en de DPO-opleiding bij Considerati die de privacyspecialisten van DPA volgen. ‘Dit geeft een goed overzicht en verdiept inzicht in kernbegrippen. We onderhouden deze kennis met zeswekelijkse interne sessies over het privacy- en het informatiebeveiligingsdomein. Zo slijpen we de geest op belangrijke onderwerpen en kunnen we de nieuwste kennis aan de organisatie van de opdrachtgever overbrengen. In 2022 gaan we ook voor onze opdrachtgevers kennis- en kundesessies over actuele onderwerpen organiseren. Over omvangrijkere onderwerpen brengen we ook met enige regelmaat een whitepaper uit. ’
