‘AVG’ is een bekende term geworden. We herkennen de zichtbare en consumentgerichte aspecten ervan in ons dagelijks leven. Als privacyprofessionals zien we dat consumenten hun recht uitoefenen om hun toestemming voor de verwerking van hun gegevens in te trekken, bijvoorbeeld via ‘opt-out’- of ‘unsubscribe’-knoppen.
Wat niet zo duidelijk is, is of organisaties hun praktijken volledig up-to-date en in lijn houden met de AVG. Bijvoorbeeld:
- Sinds het toevoegen van afmeldknoppen hebben diezelfde organisaties mogelijk marketing-e-maillijsten gekocht zonder de wettelijke basis te bevestigen waaronder de persoonlijke gegevens werden verzameld en verkocht;
- Sinds de EU AVG in 2016 werd aangenomen en vanaf 2018 afdwingbaar werd, hebben we de DPA 2018 (Data Protection Act 2018) en Brexit gehad in het VK; En
- Meer dan 20 artikelen zijn uit de EU AVG teruggetrokken om er de Britse AVG van te maken, en de DPA 2018 is gewijzigd om te worden gelezen in samenhang met de Britse AVG.
Hoe zeker bent u ervan dat uw organisatie volledig voldoet aan de relevante wetgeving inzake gegevensbescherming? Zouden de boetes en reputatieschade als gevolg van inbreuken op de AVG commercieel schadelijk zijn?
Eenmaal compliant betekent niet dat je nog steeds compliant bent
Als je het minder dan 100% zeker weet, is de kans groot dat iemand ergens heeft aangenomen dat er intern of binnen de wet niets is veranderd.
Het feit dat u een paar jaar geleden deskundig advies over deze kwestie heeft ingewonnen, betekent niet dat u in alle duidelijkheid bent. ‘Eenmaal conform’ betekent niet ‘nog steeds conform’.
Het is mogelijk dat u nu een DPO (data protection officer) of dataprivacy-leader moet aanstellen als enig aanspreekpunt voor vragen, zorgen, inbreuken, impactbeoordelingen of communicatie met de regelgevende instanties.
Privacy is internationaal
Het zijn niet alleen de EU AVG, de Britse AVG en de DPA 2018 die we mogelijk moeten naleven. Privacywetten bestaan in bijna elk land en zijn relevant, waar u ook zaken doet.
U kunt uw gegevensprivacysystemen zo ontwerpen dat ze aan al deze wettelijke eisen voldoen.
Het hebben van een of meer van de volgende zaken kan hierbij aanzienlijk helpen:
Maar naleving vereist duidelijkheid. Hetzelfde geldt voor het implementeren van een van de bovenstaande zaken.
Als u de onderwerpen niet in detail begrijpt, loopt u het risico het ene systeem, de norm of de regelgeving met het andere te verwarren, waardoor u op meerdere fronten de dupe wordt.
Gegevensresidentie, gegevenssoevereiniteit en de rollen van gegevensbeheerders en -verwerkers kunnen complex zijn in ons zakelijke ecosysteem. Het is dus essentieel dat iemand aan de kant – zoals een DPO of privacyleider – de ene regelgeving duidelijk van de andere kan onderscheiden om eventuele problemen op te lossen.
Crisis-aversie
Maar de waarde van iemand die getraind is in gegevensbescherming en privacy komt pas echt aan het licht wanneer er een audit plaatsvindt of er een datalek plaatsvindt.
Een DPO is niet alleen een vertrouwde adviseur tijdens normale tijden. Zij vormen het commandocentrum van een multifunctioneel team in moeilijke tijden. Geconfronteerd met een incident of inbreuk kan een goed opgeleide DPO een crisis afwenden voordat sociale media een catastrofe kunnen veroorzaken.
Goed onderlegde dataprivacyleiders en DPO’s kunnen indien nodig in actie komen, problemen snel aanpakken en verhelpen, rapporteren aan de noodzakelijke autoriteiten en blijvende verandering teweegbrengen. Als onderdeel hiervan hebben ze hard gewerkt om ervoor te zorgen dat ze de steun van het senior management hebben om in te grijpen en veranderingen door te voeren wanneer dat nodig is.
Kwaliteitsvolle DPO-training leidt de persoon op en bereidt hem voor op de rol.
Kennis, vaardigheden en competenties
Ervaring komt een DPO goed van pas, maar is geen vervanging voor competenties.
Naast een goed inzicht in de relevante regelgeving en uitstekende vaardigheden op het gebied van factchecking, zal een DPO ook goed met mensen moeten omgaan en processen moeten volgen.
Als DPO of privacy lead ben jij de aanspreekpunt, het ‘veilige paar handen’, de vertrouwde adviseur en de bemiddelaar. U gaat de procedures niet alleen met zorg en voorzichtigheid volgen; Je hebt te maken met een breed scala aan belanghebbenden.
Effectieve DPO-training omvat zowel het ‘hoe’-gedeelte van de rol als het ‘wat en wanneer’.
Bij IT Governance geven we richtlijnen over wat het betekent om verantwoordelijk en aansprakelijk te zijn in een leiderschapsrol op het gebied van DPO of dataprivacy. Dat maakt het verschil tussen iemand die een taak heeft gekregen en iemand die de taak aankan.
En onthoud: hoe iemand in zijn rol presteert, bepaalt uiteindelijk zijn vooruitzichten en het commerciële welzijn van zijn organisatie.
Over de auteur
Deze blog is geschreven door Andrew Snow.
Andrew is een DPO met uitgebreide ervaring in de publieke en private sector op het gebied van naleving van regelgeving, de ontwikkeling van raamwerken voor privacy-compliance en andere gebieden die verband houden met gegevensbescherming.
Hij is ook een enthousiaste trainer voor gegevensprivacy en cyberbeveiliging en krijgt voortdurend veel lof van de cursisten.
Gratis webinar: Bouw uw carrière op als DPO en Privacy Lead
Aanstaande donderdag 7 december 2023 organiseren we een webinar van 45 minuten vanaf 15:00 uur (GMT).
Andreas zal:
- Begeleidt u bij de cruciale stappen om uw carrière vooruit te helpen op het gebied van gegevensbescherming en leiderschap op het gebied van privacy;
- Breng uw pad op het gebied van gegevensbescherming in kaart en leg de vaardigheden en kwalificaties uit die nodig zijn voor succes in deze cruciale rol; En
- Leer u over ons gespecialiseerde trainingsmodel voor DPO’s en privacyleads, en hoe IT Governance uw carrière in gegevensbescherming kan versterken.
Je krijgt ook toegang tot exclusieve kortingen en waardevolle bronnen om je reis naar een succesvolle carrière als DPO of privacy lead te versnellen, en je krijgt de kans om Andrew je vragen over loopbaanontwikkeling te stellen in een Q&A.