Datum
10.04.2024
In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde. Frieke Verniest , Data Protection Officer bij AZ Sint-Jan Brugge, beantwoordt ze graag.
Hoe ben je in de rol van DPO verzeild geraakt?
Frieke: Verzeild geraakt, dat is bij velen onder ons, DPO’s, inderdaad de juiste uitdrukking.
In 2016 startte ik als stafmedewerker in de dienst ICT bij AZ Sint-Jan. De voormalige informatieveiligheidsconsulent was net met pensioen. Er werd mij gevraagd of ik interesse had in alles wat met privacy en security te maken had. Snel volgde er een opleiding, heel snel volgden vele infosessies over de aankomende GDPR, netwerkmomenten met collega’s uit andere ziekenhuizen en startten we een traject om het ziekenhuis zo goed als kon klaar te stomen wanneer de AVG in werking trad.
Daarbij hoorde ook de officiële aanstelling van een DPO. Zo kreeg ik een nieuwe invulling van mijn rol in het ziekenhuis. Tot op vandaag heb ik daar nog geen spijt van, in tegendeel.
Welk deel van het takenpakket van een DPO geniet jouw voorkeur?
Frieke: De meeste voldoening haal ik uit contacten met de verschillende diensten en stakeholders in het ziekenhuis. De rol van DPO zorgt ervoor dat ik kennis mag en moet opdoen van alle processen en functies in het ziekenhuis.
Bewustwordingssessies opzetten en geven vind ik nog altijd het leukste. Droge materie omzetten in een herkenbaar verhaal met als doel iets overbrengen dat blijft hangen bij de collega’s die in de praktijk staan, daar haal ik voldoening uit.
Welke gebeurtenis in het privacy landschap heeft jou tot op heden het meest getroffen/geraakt?
Frieke: De cyberaanval en dus het grote datalek bij Limburg.net heeft me doen fronsen. Dat een datalek met zo’n grote impact mogelijk is, dat is voor niemand een geheim. Wat me wel deed fronsen was de ogenschijnlijke rust en gelatenheid bij de slachtoffers. Weinig betrokkenen lijken zich grote zorgen te maken over de gegevens die van hen op straat liggen. Heel weinig mensen zien er gevaar in als bepaalde informatie gedeeld wordt of gelekt wordt. Dat wijst erop dat we op vlak van bewustwording nog een hele weg af te leggen hebben.
Ik zie wel een mooie positieve evolutie bij bijvoorbeeld VRT NWS. Technologie, privacy en security krijgen steeds vaker gerichte aandacht en komen als apart item in het nieuws en in duidingsprogramma’s.
Hoe zou je de rol van DPO in jouw bedrijf beschrijven?
Frieke: De rol van DPO binnen ons ziekenhuis bestaat uit streng adviseren, toegankelijk zijn voor om het even welke vraag, bewustwording opzetten van boven tot onderaan de organisatie. Als DPO probeer ik ook mee te denken daar waar mogelijk.
Wat is volgens jou de grootste uitdaging voor een DPO?
Frieke: De steeds groter wordende connectie tussen privacy en technologie. Hoe kan je als DPO enerzijds bij blijven op vlak van wetgeving en rechtspraak en anderzijds ook voldoende actuele kennis hebben van technologie en technische mogelijkheden op vlak van privacy en security?
Alles wordt digitaal, alles heeft een security-aspect en in elk project zit een privacy luik en een securityluik. AI is hier een prachtvoorbeeld van. Hoezeer moet je als DPO begrijpen wat er in huis komt en wat er in huis gebruikt wordt? Hoe moet je als DPO correct toezien en adviseren zonder innovatie tegen te werken? Is dat de rol van de DPO alleen?
Gelukkig kunnen we in onze organisatie rekenen op een hele nauwe samenwerking met het team IT-security. We zitten bijna naast elkaar en overleggen wekelijks. We profiteren van elkaars kennis en passie over privacy en technologie.
Welke technologische evolutie heeft volgens jou de meeste impact op gegevensbescherming (positief/negatief)?
Frieke: AI zonder twijfel. Dit klinkt als het intrappen van een open deur. AI stormt op ons af. Daar waar technologie het gebruiksgemak sterkt verbetert, daar zie je dat mensen sneller geneigd zijn om hun privacy op te geven. Dat is perfect te begrijpen. Ik krijg veel terug, dus waarom niet wat van mijn privacy opgeven?
De impact op gegevensbescherming kan hier negatief zijn, al wil ik hier niet pessimistisch klinken. Negatief als het gaat over het te gemakkelijk delen van persoonsgegevens aan een zwarte doos die moet getraind worden of die ons een slim antwoord terug kan geven. Welke garanties zijn er hier op vlak van gegevensbescherming?
Ik zie ook veel projecten opkomen die echt inzetten op privacy en security by design. In de wereld van de blockchain zetten sommige spelers keihard in op privacy. Daar kijk ik reikhalzend naar uit of zij een doorstart zullen maken met een positieve impact op gegevensbescherming.
Een ander positief verhaal, is dat van de datakluizen, zoals het Solid-project. Benieuwd of dat een standaard zal worden en hoe dit verder evolueert en of het echt een ware transformatie zal zijn zoals men oppert.
Wat zijn jouw ervaringen in het contact tussen DPO en betrokkene/toezichthouder?
Frieke: Contacten met betrokkenen zijn vaak een positief verhaal. Mensen hebben vragen en krijgen een antwoord of krijgen beter inzicht in wat er kan, mag en wie hun dossier ooit inkeek.
Soms is er een minder positieve ervaring met een betrokkene, dat kan als er voor de vraag of de klacht bij de DPO al een andere negatieve ervaring was. Vaak komt een mindere ervaring ook uit onbegrip.
Ik heb gemerkt dat mensen opbellen en je niet beperken tot e-mail hier een grote hulp kan zijn. In 1 extreem geval zijn we zelfs eens tot bij een patiënt op de kamer gegaan om samen te tonen hoe je op niveau van eHealth toegang tot je dossier kan beheren.
Contact met de VTC is vaak positief. Ze zijn bereikbaar als je vragen hebt. Als je een melding van een datalek doet, krijg je altijd (met wat vertraging) een antwoord. De berisping nemen we er dan wel bij.
Wat is jouw gouden tip om gegevensbescherming en informatieveiligheid hoger op de agenda van het management te krijgen?
Frieke: Een datalek of een cyberincident is de snelste manier om dit op hun agenda te krijgen. Nee, daar gaan we niet op wachten en dat wens je geen enkele organisatie toe.
Feiten, cijfers en een begrijpbaar verhaal. Leg de link tussen de strategische doelen van de organisatie met hoe privacy en cybersecurity daarbij kan helpen. Maak dat tastbaar, laat ze cijfers zien over hoe gemakkelijk we nog in phishingmails trappen. Maak ze bewust van hun verantwoordelijkheden, zoals die uiteengezet zijn in de wet (GDPR en NIS2).
Maar de gouden tip? Leer je management kennen en kom te weten of ze gevoelig zijn voor droge cijfers of eerder voor een verhaal van verantwoordelijkheden of misschien willen ze wel heel graag een certificaat behalen en is compliancy belangrijk? Voor elk type manager is er zeker een weg om hen duidelijk te maken dat privacy en security belangrijk zijn.
Wat is jouw Zwitsers zakmes als DPO?
Frieke: Een app met de wetgeving. Zo heb ik die altijd bij de hand.
Collega’s en samenwerking met collega’s uit andere ziekenhuizen. Dat is zo belangrijk. Kennis delen, frustraties delen, tools delen en samen nadenken hoe het beter kan.
Hoe blijf je op de hoogte van nieuwe trends in AVG-technologie en wetgeving?
Frieke: Enerzijds via kennisdelingsplatformen en anderzijds via de Stay Tuned sessies die het Data Protection Institute inricht.
Om zelf de website van de GBA, EDPB en VTC af te schuimen ontbreekt soms de tijd. Ik ben dus heel dankbaar dat die kennisdelingsmomenten en Stay Tuned sessies er zijn.
Datum
10.04.2024
