In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde. Frank Mangelschots, DPO bij verschillende politiezones in Oost-Vlaanderen, oud-student en huidige “Stay Tuner” bij DPI, beantwoordt ze graag.

Hoe ben je in de rol van DPO verzeild geraakt?

Ik ben sedert een 3-tal jaren DPO van 7 Oost-Vlaamse politiezones. Ik kwam in aanmerking voor deze functie toen de voormalige DPO is aangeworven bij het Controleorgaan COC.

Gezien ik een operationele politiemedewerker ben, heb ik het grote voordeel dat ik reeds 25 jaar gewerkt heb met alle databanken en deze dan ook van binnen en van buiten ken.
Dit is naar mijns inziens een gigantisch voordeel als DPO gezien de concrete adviezen kunnen worden gebaseerd op concrete kennis.

Daarna volgde ik met succes de opleiding tot DPO en de specialisatie DPO-Politie bij DP-Institute.

Welk deel van het takenpakket van een DPO geniet jouw voorkeur?

Mijn voorkeur gaat uit naar het vergroten van de awareness of bewustwording binnen de organisatie met betrekking tot gegevensbescherming.

Ik geef als DPO regelmatig trainingen en educatieve sessies om medewerkers bewust te maken van hun verantwoordelijkheden op het gebied van gegevensbescherming en hen te trainen in het correct omgaan met persoonsgegevens. De training kan bijvoorbeeld gaan over de AVG, Titel 2, de verplichtingen van de organisatie en medewerkers, risico’s en hoe deze te beperken.

Ik help als DPO, samen met andere afdelingen, richtlijnen en beleid ontwikkelen voor de verwerking van persoonsgegevens en zorg ervoor dat deze duidelijk en begrijpelijk zijn voor alle medewerkers.

Ik tracht ervoor te zorgen dat medewerkers regelmatig op de hoogte worden gehouden van veranderingen in de wet- en regelgeving of het beleid van de organisatie met betrekking tot gegevensbescherming. Dit kan bijvoorbeeld via nieuwsbrieven, e-mails of andere interne communicatiekanalen.

Ik organiseer bewustwordingscampagnes om medewerkers bewust te maken van specifieke risico’s of bedreigingen op het gebied van gegevensbescherming, zoals phishing aanvallen of datalekken. Dit kan bijvoorbeeld via posters, presentaties of simulaties.

Door deze en andere maatregelen te nemen, kan ik de awareness van gegevensbescherming binnen de organisatie vergroten en ervoor zorgen dat alle medewerkers zich bewust worden van het belang van gegevensbescherming en hun rol hierin.

Welke gebeurtenis in het privacy landschap heeft jou tot op heden het meest getroffen/geraakt?

Bij de politie zijn er dagelijks aangiften waarbij ouderen en kwetsbare groepen worden opgelicht door phishing na een eerdere diefstal van hun gegevens bij een ransomware aanval.

Veelal blijven deze slachtoffers achter met een geplunderde bankrekening waarbij al hun kostbaar verdiende spaarcentjes werden gestolen door aanvallers die zich voordoen als een betrouwbare partij, zoals een bank of een overheidsinstantie, en vragen het slachtoffer om persoonlijke gegevens te verstrekken of om op een link te klikken die leidt naar een kwaadaardige website.
De aanvaller kan ook proberen om het slachtoffer te overtuigen om geld over te maken naar een vals bankrekeningnummer.

Oudere mensen zijn vaak kwetsbaarder voor phishing aanvallen omdat ze minder bekend zijn met de technologie en minder vertrouwd zijn met de manieren waarop aanvallers hen kunnen benaderen. Bovendien zijn ouderen vaak meer geneigd om persoonlijke informatie te verstrekken en kunnen ze soms makkelijker worden overtuigd om geld over te maken, vooral als de aanvaller zich voordoet als een vertrouwde instantie of als er wordt gedreigd met strafrechtelijke vervolging.

Het is dus belangrijk om ouderen en andere kwetsbare groepen te informeren over de risico’s van phishing aanvallen en hen te helpen bij het herkennen van verdachte e-mails, telefoontjes en berichten. Het is ook essentieel om te zorgen voor adequate beveiligingsmaatregelen om persoonlijke gegevens te beschermen en om de risico’s van ransomware aanvallen te beperken.

Hoe zou je de rol van DPO in jouw bedrijf beschrijven?

De DPO heeft als taak om toezicht te houden op de naleving van de Algemene Verordening Gegevensbescherming (AVG) en andere wet- en regelgeving inzake gegevensbescherming. Ook Titel 2 is binnen de politionele context superbelangrijk gezien alle verwerkingen binnen de gerechtelijke en bestuurlijke context hier binnen vallen.

Dit omvat onder meer:

Het adviseren van de organisatie over de verplichtingen op het gebied van gegevensbescherming en de implementatie van passende maatregelen om aan deze verplichtingen te voldoen.

Het fungeren als contactpunt voor het COC en betrokkenen.

Het adviseren van gegevensbeschermingseffectbeoordelingen (DPIA’s) om de risico’s van gegevensverwerking in kaart te brengen en te minimaliseren.

Het monitoren van de naleving van de AVG en andere wet- en regelgeving op het gebied van gegevensbescherming, en het uitvoeren van interne controles op het gebruik en eventueel misbruik van de politionele databanken.

Het samenwerken met diverse afdelingen binnen de organisatie, zoals IT, HR en management, om ervoor te zorgen dat de gegevensbescherming wordt geïntegreerd in de politionele bedrijfsprocessen.

Het is belangrijk dat een DPO alle taken binnen zijn of haar verantwoordelijkheidsgebied serieus neemt en zorgvuldig uitvoert om ervoor te zorgen dat de organisatie voldoet aan de wet- en regelgeving op het gebied van gegevensbescherming en dat de persoonsgegevens van betrokkenen op een veilige en verantwoorde manier worden verwerkt.

Wat is volgens jou de grootste uitdaging voor een DPO?

De grootste uitdaging voor een DPO bij ons is om ervoor te zorgen dat de politiezone voldoet aan de steeds veranderende wetgeving en om de persoonsgegevens van betrokkenen effectief te beschermen, terwijl de organisatie tegelijkertijd haar operationele politionele doelstellingen kan bereiken. Dit is vooral moeilijk vanwege de toenemende complexiteit van gegevensverwerking en -opslag, evenals de toename van geavanceerde bedreigingen zoals ransomware en hacking.

Bovendien kunnen nieuwe technologieën, zoals kunstmatige intelligentie en het Internet of Things (IoT), bodycams, drones, ANPR-camera’s, nieuwe uitdagingen met zich meebrengen voor de bescherming van persoonsgegevens en de privacy van betrokkenen.

Een andere belangrijke uitdaging voor een DPO is het zorgen voor bewustwording en naleving van de privacywetgeving bij alle medewerkers binnen een organisatie. Dit vereist een goede ondersteuning vanuit het beleid en de korpschef als verwerkingsverantwoordelijke. Daarbij ook het ontwikkelen en implementeren van effectieve privacy beleidslijnen en procedures, evenals het bieden van training en educatie aan medewerkers op alle niveaus. Het is ook belangrijk dat een DPO nauw samenwerkt met de IT-afdeling en andere relevante afdelingen binnen de organisatie om ervoor te zorgen dat de privacy- en beveiligingsmaatregelen effectief worden geïmplementeerd en onderhouden.

Welke technologische evolutie heeft volgens jou de meeste impact op gegevensbescherming (positief/negatief)?

Cloud computing heeft de manier waarop gegevens worden opgeslagen en verwerkt veranderd. Het biedt voordelen zoals schaalbaarheid, flexibiliteit en kostenbesparing, maar het brengt ook uitdagingen met zich mee voor gegevensbescherming. Het is bijvoorbeeld belangrijk om ervoor te zorgen dat gegevens die in de cloud worden opgeslagen, goed worden beveiligd en dat er passende maatregelen worden genomen om gegevensverlies te voorkomen.

Het Internet of Things (IoT) verwijst naar de steeds groter wordende netwerken van apparaten die zijn verbonden met het internet. Deze apparaten verzamelen continu gegevens en wisselen deze uit, wat privacy- en beveiligingsrisico’s met zich meebrengt. Het is daarom belangrijk om ervoor te zorgen dat deze apparaten goed zijn beveiligd en dat gegevensverzameling en -verwerking plaatsvindt in overeenstemming met de privacywetgeving.

Artificiële intelligentie (AI) is een andere technologie die grote impact heeft op gegevensbescherming. Het gebruik van AI kan bijvoorbeeld leiden tot nieuwe manieren om gegevens te analyseren en te verwerken, maar het kan ook leiden tot nieuwe privacy- en beveiligingsrisico’s. Het is daarom belangrijk om ervoor te zorgen dat AI-systemen goed zijn beveiligd en dat de gegevens die ze gebruiken in overeenstemming zijn met de privacywetgeving.

Biometrische identificatietechnologieën, zoals gezichtsherkenning en vingerafdrukscanners, worden steeds vaker gebruikt voor authenticatie en identificatie. Deze technologieën verzamelen echter gevoelige persoonsgegevens en het is daarom belangrijk om ervoor te zorgen dat deze gegevens goed worden beschermd en dat het gebruik van deze technologieën in overeenstemming is met de privacywetgeving.

Wat zijn jouw ervaringen in het contact tussen DPO en betrokkene/toezichthouder?

De contacten tussen het Controle Orgaan op de politionele informatie (COC) en mezelf verlopen positief. Het is belangrijk dat de DPO transparant en duidelijk is over hoe de persoonsgegevens van de betrokkene worden verwerkt en hoe deze beschermd worden. De betrokkene heeft het recht om informatie op te vragen over de verwerking van zijn of haar persoonsgegevens en de DPO is verantwoordelijk voor het beantwoorden van deze vragen.

Zo krijgen we onder meer vele vragen van burgers die hun gegevens graag wensen te laten wissen uit de politionele databanken. Samen met de toezichthouder gaan we dan ook over tot de nodige rectificaties binnen onze databanken.

In het verleden had ik al meermaals contact met de toezichthouder bij aanmelding en opvolging van datalekken. Hierbij is er ook vanuit de toezichthouder een zeer stipte opvolging.

Het is belangrijk dat de DPO een goede relatie opbouwt met betrokkenen en toezichthouders, zodat er open en transparante communicatie kan plaatsvinden. Dit is essentieel voor het succesvol naleven van de privacywetgeving en het waarborgen van de privacy van betrokkenen.

Wat is jouw gouden tip om gegevensbescherming en informatieveiligheid hoger op de agenda van het management te krijgen?

Mijn gouden tip om gegevensbescherming en informatieveiligheid hoger op de agenda van het management te krijgen is om te benadrukken dat het niet alleen gaat om het naleven van wet- en regelgeving, maar ook om het beschermen van het Imago van de Politie en de relaties met de burgers.

Een datalek kan immers niet alleen leiden tot reputatieschade, maar ook tot verlies van heel kwetsbare en gevoelige gegevens van de burgers.

Daarnaast kan het nuttig zijn om het management bewust te maken van de kosten van een datalek en de impact ervan op de bedrijfsvoering. Dit kan bijvoorbeeld door het uitvoeren van een risicoanalyse en het opstellen van een kosten-batenanalyse, waarbij de potentiële kosten van een datalek worden afgezet tegen de kosten van het implementeren van adequate beveiligingsmaatregelen.

Een andere manier om gegevensbescherming en informatieveiligheid hoger op de agenda van het management te krijgen is door het creëren van bewustwording en het trainen van medewerkers. Door medewerkers te informeren over de risico’s van cybercriminaliteit en het belang van informatieveiligheid, kan het bewustzijn worden vergroot en kunnen medewerkers beter worden betrokken bij de bescherming van persoonsgegevens en vertrouwelijke informatie.

Het is belangrijk om het management te betrekken bij de implementatie van beveiligingsmaatregelen en het regelmatig rapporteren van de voortgang en resultaten. Zo kunnen zij de impact van hun investeringen in gegevensbescherming en informatieveiligheid zien en deze verder stimuleren.

Zelf heb ik in iedere politiezone een informatieveiligheidscel. We komen dan ook regelmatig samen om de opvolging van het informatieveiligheidsbeleidsplan te bespreken.

Wat is jouw Zwitsers zakmes als DPO?

Eén van de belangrijkste tools die een DPO kan gebruiken is een goed privacy managementsysteem. Dit kan helpen bij het monitoren van gegevensverwerkingen, het beheren van datalekken, het documenteren van verwerkingsactiviteiten, beeldregisters, verwerkingsovereenkomsten, DPIA’s.

Zo kan de DPO snel inzicht krijgen in de status van de gegevensbescherming binnen de organisatie en eventuele risico’s en problemen snel signaleren en aanpakken.

Een andere belangrijke tool is kennis en expertise op het gebied van privacywetgeving en cybersecurity. Dit omvat niet alleen kennis van de wet- en regelgeving, maar ook kennis van technische beveiligingsmaatregelen en best practices op het gebied van gegevensbescherming. Zo kan de DPO proactief advies geven over de implementatie van beveiligingsmaatregelen en risico’s op tijd signaleren en aanpakken.
Het is hierbij belangrijk om een degelijke tool te hebben waarbij informatie zoals wetgevingen, snel en efficiënt kan worden teruggevonden.

Ten slotte is communicatie een cruciale tool voor een DPO. Het is belangrijk dat de DPO effectief kan communiceren met verschillende belanghebbenden, zoals collega DPO’s, medewerkers, het management, betrokkenen en toezichthouders.

Door duidelijk en transparant te communiceren over de gegevensverwerkingen en de genomen maatregelen, kan de DPO het vertrouwen winnen van alle belanghebbenden en de naleving van de privacywetgeving binnen de organisatie verbeteren.

Hoe blijf je op de hoogte van nieuwe trends in AVG-technologie en wetgeving?

Ik ben geabonneerd op de Stay Tuned opleiding van DPI waarbij we de recente uitspraken en wetgeving kunnen opvolgen om op de hoogte blijven van nieuwe trends en ontwikkelingen in AVG-technologie en wetgeving.

Ik volg de wekelijkse podcast van Dasprivé en ben ook aangesloten op enkele relevante groepen op Linked-In: Er zijn verschillende platformen die zich richten op privacy en gegevensbescherming. Door deze websites en blogs te volgen, kun je snel op de hoogte worden gebracht van nieuwe ontwikkelingen en inzichten.

Er worden regelmatig conferenties en evenementen georganiseerd waarop de nieuwste ontwikkelingen in AVG-technologie en wetgeving worden besproken. Door deze evenementen bij te wonen, kun je niet alleen op de hoogte blijven van nieuwe trends en ontwikkelingen, maar ook netwerken met andere privacy professionals.

Tot slot kan een DPO ook experts en collega’s raadplegen op het gebied van AVG-technologie en wetgeving. Dit kunnen interne experts zijn, zoals IT-specialisten of juridische adviseurs, of externe consultants en specialisten. Door deze experts te raadplegen kun je snel en effectief antwoorden vinden op specifieke vragen en problemen.

Werk jij ook als DPO bij de politie en heb je een DPO-opleiding genoten? Vervolledig dan zeker je DPO-opleiding met de tweedaagse DPO Politie!

x

Blijf op de hoogte via onze nieuwsbrief

Blijf in contact met ons laatste nieuws, aanbiedingen en beschikbare opleidingen.

Newsletter
x

Schrijf je in