In deze rubriek zetten we graag even een Data Protection Officer in de kijker op basis van een 10-tal vragen die DPI hen stelt. Liesbeth Aelterman, Data protection & Information security consultant bij Spotit, alumnus en huidige Stay Tuner bij DPI, beantwoordt ze graag.
- Hoe ben je in de rol van DPO verzeild geraakt?
Ik heb een juridische achtergrond door mijn opleiding en werd in mijn vorige job, voor de eerste keer geconfronteerd met GDPR. Ik vond de GDPR wetgeving zeer interessant en ik heb me hierin vastgebeten en diverse opleidingen gevolgd. Naarmate dat ik meer theoretische kennis had, wou ik weten hoe ik dit in de praktijk kon omzetten.
Eind 2017 ben ik gestart bij Spotit en zo ben ik gaandeweg in de DPO rol verzeild geraakt.
Tot op de dag van vandaag, heb ik hier nog geen minuut spijt van. Het blijft een onderwerp dat me heel hard boeit en waar zoveel in te beleven valt.
- Welk deel van het takenpakket van een DPO geniet jouw voorkeur?
Dit is een moeilijke keuze. Het brainstormen, adviseren en opvolgen van bij de start van een nieuwe activiteit, vind ik een heel leuke taak. Dit zorgt ervoor dat de theorie en de praktijk gecombineerd dienen te worden. Hierbij komt nog het opvolgen van de laatste beslissingen en deze telkens proberen implementeren.
- Welke gebeurtenis in het privacy landschap heeft jou tot op heden het meest getroffen/geraakt?
Echt getroffen zou ik hier als woord niet gebruiken. Echter, naar aanleiding van de nieuwe aangekondigde maatregel waarbij een medisch attest voor korte afwezigheden niet meer nodig zal zijn, las ik dat een werknemer dient door te geven waar hij/zij zich zal bevinden tijdens de eerste dag van de arbeidsongeschiktheid (als dit afwijkt van de officiële verblijfplaats). Bij dergelijke zaken denk ik automatisch aan de link met privacy en hoe ondernemingen hiermee zullen om gaan.
Ik verwacht dat dit in de toekomst nog naar voor zal komen in een beslissing van de Geschillenkamer.
- Hoe zou je de rol van DPO in jouw bedrijf beschrijven?
In één woord: pragmatisch.
Ik probeer als DPO te denken vanuit meerdere standpunten. De theorie is één zaak, het gebruik in de praktijk is iets anders. Ik probeer bij elk advies telkens vanuit praktisch perspectief te denken: wat is haalbaar, wat kan, wat kan niet, als we A doen wat zal er dan gebeuren bij B? Een advies kan zo duidelijk en goed zijn, als het niet haalbaar is in de praktijk dan heeft het weinig nut. Op sommige momenten is dit uiteraard moeilijk, indien een bepaalde verwerkingsactiviteit niet kan/mag dan zal men zich daar uiteraard moeten bij neerleggen.
In mijn beleving, zal een DPO vaker van bij de start betrokken worden als er een gemeenschappelijke oplossing gevonden kan worden, dan dat er enkel vastgehouden wordt aan de theorie.
- Wat is volgens jou de grootste uitdaging voor een DPO?
Ervoor zorgen dat je in het bedrijf bij zoveel mogelijk zaken betrokken bent en blijft, zonder als vertragende factor te worden gezien.
- Welke technologische evolutie heeft volgens jou de meeste impact op gegevensbescherming (positief/negatief)?
Het ontstaan van diverse GRC tools, zonder specifiek één tooling te benadrukken. In het begin toen GDPR in werking trad, werden er veel zaken bv. in Excel bijgehouden. Vandaag de dag is het mogelijk om alles in één tooling te stoppen, wat het efficiënter maakt. Je bent in de mogelijkheid via de tool vragen door te sturen, alle informatie te verzamelen op één plaats en alles actueel te houden.
- Wat zijn jouw ervaringen in het contact tussen DPO en betrokkene/toezichthouder?
Ik heb persoonlijk weinig contact met de toezichthouders in het algemeen. Gisteren was ik op een privacy seminarie waar de voorzitter van de GBA de nieuwe actiepunten van 2023 is komen voorstellen. Dit was zeker interessant, en was voor mij het eerste persoonlijke contact.
- Wat is jouw gouden tip om gegevensbescherming en informatieveiligheid hoger op de agenda van het management te krijgen?
Het belangrijkste is om de meerwaarde aan te kunnen tonen. Dit kan je doen door onder andere meer in te zetten op het financiële voordeel voor de onderneming.
Vaak ziet het management gegevensbescherming en Informatieveiligheid als een last en een kost in plaats van een toegevoegde waarde. Door op beide onderwerpen in te zetten, zorg je ervoor dat je onderneming een goede basis heeft naar de toekomst toe en de veranderende maatschappij.
- Wat is jouw Zwitsers zakmes als DPO?
Mijn privacy kennis in verschillende domeinen en sectoren. Als DPO heb ik verschillende klanten die zich in diverse sectoren (bv. IT sector, transportsector, edm.) bevinden. Hierdoor heb ik de laatste 5 jaar een uitgebreide kennis kunnen opbouwen. Door mij niet te beperken tot één sector merk ik op dat je vaker bepaalde zaken gaat onderzoeken, op deze manier leer je dagelijks bij.
- Hoe blijf je op de hoogte van nieuwe trends in AVG-technologie en wetgeving?
Ik volg al enkele jaren de Stay Tuned as a DPO bij DPInstitute, heel interessante opleidingen waardoor ik op korte tijd mee ben met de laatste nieuwe zaken.
Verder ben ik ingeschreven in diverse nieuwsbrieven en probeer ik indien mogelijk aanwezig te zijn op diverse privacy conferenties/seminaries.
Uiteraard ben ik trouwe luisteraar van de DasPrivé podcasts.