Date
10.04.2024
Dans cette rubrique, nous souhaitons mettre en lumière un délégué à la protection des données sur la base de quelques questions qui lui ont été posées par le DPI. Frieke Verniest , Data Protection Officer chez AZ Sint-Jan à Bruges, est heureux d’y répondre.
Comment êtes-vous arrivée au rôle de DPO ?
Frieke: En 2016, j’ai commencé à travailler en tant que fonctionnaire au sein du département TIC de l’AZ Sint-Jan. L’ancien consultant en sécurité de l’information venait de prendre sa retraite. On m’a demandé si j’étais intéressée par ce qui avait trait à la vie privée et à la sécurité. La formation a rapidement suivi, ainsi que de nombreuses séances d’information sur le RGPD à venir, des moments de réseautage avec des collègues d’autres hôpitaux et nous avons entamé un processus visant à préparer au mieux l’hôpital à l’entrée en vigueur du RGPD.
Cela comprenait la nomination officielle d’un DPO. Cela m’a donné une nouvelle interprétation de mon rôle au sein de l’hôpital. Aujourd’hui encore, je n’ai aucun regret à ce sujet, bien au contraire.
Quelles missions du rôle de DPO préférez-vous ?
Frieke: C’est en interagissant avec les différents services et parties prenantes de l’hôpital que j’éprouve le plus de satisfaction. Le rôle de DPO garantit que je peux et dois acquérir des connaissances sur tous les processus et fonctions de l’hôpital.
Ce qui me plaît le plus, c’est d’organiser et d’animer des séances de sensibilisation. Transformer un matériel aride en une histoire reconnaissable dans le but de transmettre quelque chose qui colle aux collègues qui sont sur le terrain, c’est là que je trouve ma satisfaction
Quel événement dans le paysage de la vie privée vous a le plus affecté/touché jusqu’à présent ?
Frieke: La cyber-attaque et donc l’importante fuite de données chez Limburg.net m’ont fait froncer les sourcils. Qu’une violation de données ayant un impact aussi important soit possible n’est un secret pour personne. Ce qui m’a fait froncer les sourcils, c’est le calme apparent et la résignation des victimes. Peu d’entre elles semblent s’inquiéter de la diffusion de leurs données. Très peu voient un danger dans le fait que certaines informations soient partagées ou divulguées. Cela indique que nous avons encore un long chemin à parcourir en termes de sensibilisation.
Je constate toutefois une évolution positive à la VRT NWS, par exemple. La technologie, la vie privée et la sécurité font l’objet d’une attention de plus en plus soutenue et apparaissent comme des sujets distincts dans les actualités et les programmes d’information.
Comment décririez-vous le rôle du DPO au sein de votre entreprise ?
Frieke: Le rôle du DPO au sein de notre hôpital consiste à conseiller avec rigueur, à être accessible à toute question, à sensibiliser de haut en bas de l’organisation. En tant que DPO, j’essaie également d’aller de l’avant dans la mesure du possible.
Selon vous, quel est le plus grand défi pour un DPO ?
Frieke: Le lien de plus en plus étroit entre la vie privée et la technologie. Comment, en tant que DPO, suivre la législation et la jurisprudence d’une part, et avoir une connaissance suffisante et actualisée de la technologie et des possibilités techniques en matière de protection de la vie privée et de sécurité d’autre part ?
Tout devient numérique, tout a un aspect sécuritaire et chaque projet comporte un volet vie privée et un volet sécurité. L’IA en est un excellent exemple. En tant que DPO, dans quelle mesure devez-vous comprendre ce qui arrive en interne et ce qui est utilisé en interne ? En tant que DPO, comment superviser et conseiller correctement sans contrecarrer l’innovation ? Est-ce là le rôle du seul DPO ?
Heureusement, dans notre organisation, nous pouvons compter sur une collaboration très étroite avec l’équipe de sécurité informatique. Nous sommes presque assis l’un à côté de l’autre et nous nous consultons chaque semaine. Nous bénéficions mutuellement de nos connaissances et de notre passion pour la protection de la vie privée et la technologie.
Selon vous, quelle évolution technologique a le plus d’impact sur la protection des données (positif/négatif) ?
Frieke: L’IA sans aucun doute. Cela revient à enfoncer une porte ouverte. L’IA fonce sur nous. Là où la technologie améliore nettement la facilité d’utilisation, on constate que les gens sont plus enclins à renoncer à leur vie privée. C’est parfaitement compréhensible. Je reçois beaucoup en retour, alors pourquoi ne pas renoncer à une partie de ma vie privée ?
L’impact sur la protection des données peut être négatif, même si je ne veux pas paraître pessimiste. Négatif lorsqu’il s’agit de partager trop facilement des données personnelles avec une boîte noire qui doit être formée ou qui peut nous donner une réponse intelligente en retour. Quelles sont les garanties en matière de protection des données ?
Je vois aussi émerger de nombreux projets qui s’engagent réellement en faveur de la protection de la vie privée et de la sécurité dès la conception. Dans le monde de la blockchain, certains acteurs misent à fond sur la protection de la vie privée. J’attends avec impatience de voir s’ils donneront le feu vert avec un impact positif sur la protection des données.
Une autre histoire positive est celle des coffres-forts de données, comme le projet Solid. Je suis curieux de savoir si cela deviendra une norme, comment cela évoluera et s’il s’agira vraiment d’une véritable transformation comme le suggèrent les gens.
En tant que DPO, quelle relation avez-vous avec les personnes concernées?
Frieke: Les contacts avec les parties prenantes sont souvent positifs. Les personnes ont des questions et obtiennent une réponse ou une meilleure compréhension de ce qui est possible, autorisé et de qui a accédé à leur dossier. Parfois, l’expérience avec une personne concernée est moins positive, notamment si une autre expérience négative a précédé la question ou la plainte adressée au DPO.
Souvent, une expérience moins positive est également due à un manque de compréhension. J’ai constaté que le fait d’appeler les gens et de ne pas se limiter au courrier électronique peut être d’une grande aide dans ce cas. Dans un cas extrême, nous nous sommes même rendus dans la chambre d’un patient pour lui montrer ensemble comment gérer l’accès à son dossier au niveau de l’e-santé.
Le contact avec le VTC est souvent positif. Ils sont accessibles si vous avez des questions. Si vous signalez une violation de données, vous obtenez toujours une réponse (avec un certain retard). Nous acceptons alors le blâme.
Quel est votre meilleur conseil afin de placer la protection des données et la sécurité des informations plus haut dans l’agenda de la direction ?
Frieke: Une atteinte à la protection des données ou un cyberincident sont les moyens les plus rapides d’inscrire cette question à l’ordre du jour. Non, nous n’allons pas attendre cela et vous ne devez pas souhaiter cela à une organisation.
Des faits, des chiffres et une histoire compréhensible. Faites le lien entre les objectifs stratégiques de l’organisation et la manière dont la vie privée et la cybersécurité peuvent y contribuer. Rendez cela tangible, montrez-leur des chiffres sur la facilité avec laquelle nous tombons encore dans le piège des courriels d’hameçonnage. Sensibilisez-les à leurs responsabilités, telles qu’elles sont définies par la loi (RGPD et NIS2).
Mais le conseil en or ? Apprenez à connaître votre direction et découvrez si elle est sensible aux chiffres secs ou plutôt à une histoire de responsabilités ou si elle est très désireuse d’obtenir une certification et si la conformité est importante. Pour chaque type de responsable, il y a certainement un moyen de lui faire comprendre que la protection de la vie privée et la sécurité sont importantes.
En tant que DPO, quel est votre couteau suisse vous permettant de surmonter tous vos challenges?
Frieke: Une application avec la législation dessus. Ainsi, je l’aurais toujours à portée de main.
Collègues et collaboration avec des collègues d’autres hôpitaux. C’est très important. Partager les connaissances, partager les frustrations, partager les outils et réfléchir ensemble à la manière d’améliorer les choses.
Comment vous tenez-vous au courant des nouvelles tendances en matière de technologie et de législation RGPD ?
Frieke: D’une part, par le biais de plates-formes de partage des connaissances et, d’autre part, grâce aux sessions Stay Tuned organisées par le Data Protection Institute.
Le temps me manque parfois pour parcourir les sites web de l’APD, de l’EDPB et du VTC. Je suis donc très reconnaissant de l’existence de ces plates-formes de partage des connaissances et de ces sessions de suivi Stay Tuned.
Date
10.04.2024
