Datum
16.05.2024
In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde Natascha De Croes , Data Protection Officer en CISO bij DELA, beantwoordt ze graag.
Hoe ben je in de rol van DPO verzeild geraakt?
Natascha: Bij het bekend maken van de GDPR wetgeving, zijn we een project gestart om dit in ons bedrijf te implementeren. Aangezien ik door vorige rol als Proces Manager reeds veel kennis had van ons bedrijf en diens processen, alsook mijn uitgebreide kennis rond IT security, leek het een logische keuze dat ik DPO zou worden.
Welk deel van het takenpakket van een DPO geniet jouw voorkeur?
Natascha: Het leukste vind ik het analyseren en opvolgen van de datalekken.
Welke gebeurtenis in het privacy landschap heeft jou tot op heden het meest getroffen/geraakt?
Natascha: Ik vind het aantal cyberaanvallen die dan resulteren in enorme datalekken wel hallucinant.
Hoe zou je de rol van DPO in jouw bedrijf beschrijven?
Natascha: We hebben in ons bedrijf een heus GDPR-team dat bestaat uit Legal medewerkers, die adviseren rondom verwerkersovereenkomsten en specifieke privacy vragen, onze ‘back-up’ DPO, die adviseert als de DPO er niet is en tevens ook mee de risicoanalyses beoordeelt en 2 privacy officers, die voor hun toegewezen sectoren bewaken dat er wordt voldaan aan de GDPR-wetgeving.
De rol van de DPO bestaat er in om alle info te consolideren en te rapporteren aan de directie en natuurlijk ook datalekken te melden aan en de contacten te onderhouden met de autoriteit. De laatste jaren hebben we veel tijd en effort gestoken in GDPR-opleidingen in al de verschillende sectoren. De weg naar de DPO en het GDPR-team is gevonden.
Wat is volgens jou de grootste uitdaging voor een DPO?
Natascha: Het is zeker een uitdaging om alles op tafel te krijgen van wat er in het bedrijf speelt dat een privacy impact heeft. Zo zijn natuurlijk bepaalde mechanismes opgezet die faciliteren dat zaken boven water komen zodat alles in het verwerkingsregister komt, de juiste contracten zijn afgesloten, DPIA’s worden uitgevoerd, etc.
Welke technologische evolutie heeft volgens jou de meeste impact op gegevensbescherming (positief/negatief)?
Natascha: Ik denk dat we het kunnen eens zijn dat AI de grootste invloed heeft in de huidige maatschappij. De AI technologie draagt zowel positief als negatief bij. Positief is uiteraard dat AI veel sneller en efficiënter inzichten kan bieden.
Anderzijds wordt diezelfde technologie ook gebruikt door cybercriminelen waardoor het voor de gewone burger moeilijk wordt om fake van echt te onderscheiden. In ons bedrijf werden vuistregels voor het gebruik van AI opgesteld zodat we AI op een deontologische manier gebruiken.
Zo willen we o.a. geen persoonsgegevens gebruiken om externe modellen te trainen. Bij gebruik van AI zal een AI-assessment moeten worden uitgevoerd om inzicht te krijgen hoe de gegevens juist verwerkt worden.
Wat zijn jouw ervaringen in het contact tussen DPO en betrokkene/toezichthouder?
Natascha: De geringe keren dat ik contact had met de autoriteit heb ik dat steeds als positief ervaren. Ik stelde een vraag en kreeg antwoord. Bij het melden van een datalek, gaf de autoriteit soms advies, dat ik dan opvolgde. Het is een wisselwerking met wederzijds respect en meer moet dat voor mij niet zijn.
Wat is jouw gouden tip om gegevensbescherming en informatieveiligheid hoger op de agenda van het management te krijgen?
Natascha: Aangezien ik in een financiële instelling werk, staat ‘het voldoen aan wetgeving’ hoog op de lijst. Dat maakt mijn job als DPO uiteraard gemakkelijker.
Voor DPO’s die toch wel worstelen om het thema hoog op de agenda te krijgen, zou ik goed uitleggen aan de directie dat het voldoen aan de GDPR-wetgeving goed is voor de reputatie van het bedrijf omdat het aangeeft dat het bedrijf op een verantwoorde wijze wil omgaan met de persoonsgegevens van klanten en medewerkers.
Het meegeven van de financiële impact voor het bedrijf bij non-compliance en voorbeelden van reeds uitgeschreven boetes helpt uiteraard ook.
Wat is jouw Zwitsers zakmes als DPO?
Natascha: Het eenvoudig opzetten van de processen rondom de verschillende thema’s in de GDPR-wetgeving en goede awareness creëren in het bedrijf. Zo hebben we een eenvoudig proces opgezet (met bijhorende opleiding) waardoor we steeds kunnen voldoen aan de termijn bij rechten van betrokkenen.
Voor mij is ook de werking met het GDPR-team en de privacy officers echt een meerwaarde voor mijn taak als DPO. Het volgen van de GDPR-auditor opleiding bij DPI heeft me goede handvaten gegeven om de privacy thema’s op een efficiëntere manier te monitoren.
Hoe blijf je op de hoogte van nieuwe trends in AVG-technologie en wetgeving?
Natascha: Daar moet ik niet lang over nadenken. De ‘Stay Tuned as DPO’ sessies zijn voor mij dé manier om op de hoogte te blijven van ontwikkelingen in het privacy-land.
Datum
16.05.2024
