Bedrijven die een DPO aanstellen, hebben doorgaans de keuze tussen een meer technisch aangelegde DPO of iemand met een juridische achtergrond. Elk van deze doelgroepen hebben hun eigen sterktes en uitdagingen. Zo merken we dat de juridische DPO het vaak moeilijk heeft met de toepassing van de zogenaamde TOMs: Technische en Organisatorische Maatregelen. Deze TOMs zorgen ervoor dat een verwerking van persoonsgegevens veilig kan worden georganiseerd. In dit artikel leggen we in 3 stappen uit hoe een DPO-jurist zonder veel technische bagage toch nuttige adviezen kan geven over de toe te passen TOMs.

Dat DPO’s vaak een juridische achtergrond hebben hoeft niet te verbazen. De GDPR schrijft immers voor dat de DPO een gedegen kennis moet hebben van de regelgeving. Bovendien zijn verschillende taken, zoals het opstellen van verwerkersovereenkomsten en onderlinge regelingen, eerder taken die aan een jurist zijn toe te schrijven. Toch hebben meer technische DPO’s ook een belangrijke taak: het inschatten van de te nemen maatregelen om persoonsgegevens te beschermen is vaak een technische kwestie. Daarom is het belangrijk dat de DPO’s van beide markten thuis zijn. Hieronder onze 3 tips voor de jurist-DPO om een betere grip te krijgen op de technische aspecten van hun job.

Tip 1: Vrees niet, get the basics right. Het zal je misschien verbazen, maar de technische kennis die je nodig hebt om als DPO goede adviezen te geven die ook voor de ICT-afdeling zinvol zijn, is eerder beperkt. Uiteraard moet je enkele basisbegrippen onder de knie krijgen. Zo zijn encryptie en pseudonimisering wel degelijk 2 afzonderlijke begrippen en is logging iets anders dan log-in. Met een minimale inspanning kan iedereen deze basisprincipes onder de knie krijgen.

Tip 2: Gebruik een tekentafel. Het zoeken naar een gemeenschappelijke taal zodat de IT-er en jurist elkaar begrijpen, is essentieel. In praktijk blijkt dat visualisatie van de verwerkingsactiviteiten helpt om een beter begrip te krijgen van de verwerking zelf. Zo’n “Data Flow Diagram (DFD)” kan verschillende vormen aannemen, maar komt er in essentie op neer om stapsgewijs te begrijpen wat er zich precies afspeelt. Door bij elke stap enkele essentiële technische kenmerken te beschrijven en de hieraan gekoppelde risico’s en maatregelen, helpt de jurist om na te gaan of aan elk risico een corresponderende maatregel is gekoppeld.

Tip 3: Verlies je niet in technische details. Security heeft een belangrijke tactische en strategische dimensie die vaak uit het oog wordt verloren. Deze organisatorische maatregelen hebben veel te maken met goede bedrijfsvoering en volgen de logica van algemeen bedrijfsbeheer. Standaarden zoals ISO 27001, dat een managementsysteem voor informatieveiligheid beschrijft, kan hier een zinvol hulpmiddel zijn. De DPO-jurist kan hier handig gebruik van maken.

Een extra tip: Wil je een goede introductie in het kennisdomein van informatieveiligheid en cybersecurity? Overweeg dan zeker onze opleiding “Data Protection & Technology”. Door deze training leer je hoe een technische discussie te volgen en de juiste vragen te stellen. Zo zal je als DPO of privacy expert beter in staat zijn ICT toepassingen te begrijpen en de vinger te leggen op belangrijke risico’s waaraan de verwerking is blootgesteld.