In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde.Céline Nactergal , Data Protection Officer bij Nagelmackers, beantwoordt ze graag.
Hoe ben je in de rol van DPO verzeild geraakt?
Céline: Ik ben vrij recent op het gebied van gegevensbescherming terechtgekomen. Ik heb een master in communicatie en reclame, wat er logischerwijs toe heeft geleid dat ik 15 jaar bij de bank Nagelmackers in personeelszaken heb gewerkt, in een functie met veel verschillende aspecten, zoals statistiek en projectbewaking. In deze functie was ik de vertegenwoordiger van de AVG voor mijn managementteam. Toen intern de functie van DPO vrijkwam, aarzelde ik niet lang om deze nieuwe uitdaging aan te gaan.
Welk deel van het takenpakket van een DPO geniet jouw voorkeur?
Céline: Ik heb geen voorkeur voor een bepaalde opdracht, het is meer de afwisseling van taken en de onafhankelijkheid van de rol die het werk voor mij interessant maakt. Het gebied van gegevensbescherming en risicobeheer is voortdurend in ontwikkeling. Persoonsgegevens zijn overal aanwezig in de banksector, Europese wetgevers zijn productief, fraudeurs zijn creatief en de jurisprudentie ontwikkelt zich voortdurend, dus als DPO verveel je je nooit!
Welke gebeurtenis in het privacy landschap heeft jou tot op heden het meest getroffen/geraakt?
Céline: Dit is meer een algemene beschouwing over de bescherming van privacy. Veel bedrijven hebben nog een lange weg te gaan als het gaat om de bewustwording van hun verantwoordelijkheden, en hetzelfde geldt voor veel van de betrokkenen, die zich niet erg bewust zijn van de kwestie. Het is duidelijk geworden dat “gegevens het nieuwe goud zijn”. En de komst van kunstmatige intelligentie, die zich voedt met gegevens, zal deze trend alleen maar versnellen. Desondanks kunnen bijvoorbeeld gewone mensen zich vaak nog lang niet voorstellen hoeveel gegevens er over hen worden verwerkt.
Hoe zou je de rol van DPO in jouw bedrijf beschrijven?
Céline: Als kleine bank hebben we niet de grote, multidisciplinaire teams die je bij grotere bedrijven aantreft. Elke schakel in de keten moet veelzijdig zijn en in staat om alle aspecten van zijn of haar vakgebied aan te raken.
Met dit in gedachten, en gezien de cross-functionele aard van de AVG, is nauwe samenwerking tussen alle afdelingen van de bank essentieel, aangezien de AVG niet los kan worden gezien van juridische en IT-zaken.
Wat is volgens jou de grootste uitdaging voor een DPO?
Céline: Ik kan er twee bedenken: de onzekerheid die inherent is aan het onderwerp gegevensbescherming en de moeilijkheid om in deze rol op je plaats te blijven.
Wat onzekerheid betreft, hoeven we ons tegenwoordig niet meer af te vragen of we op een dag een datalek krijgen, maar wanneer. Ook alle IT-systemen veranderen voortdurend. We kunnen dus nooit op onze lauweren rusten, we moeten constant waakzaam blijven en op de hoogte blijven van alle ontwikkelingen, zowel intern als extern.
Wat de rol van DPO betreft, daarmee bedoel ik dat we in de rol van DPO blijven zoals beschreven door de AVG, d.w.z. een rol van ondersteuning, informatie en advies, zowel aan het eigen bedrijf als aan de werknemers of klanten die er misschien een beroep op moeten doen. Het is vaak erg verleidelijk om over te schakelen naar de rol van projectmanager, om cross-functionele AVG projecten tot een goed einde te brengen, als het bedrijf moeite heeft om de nodige middelen te vinden. Het is echter aan ieder individu om zijn of haar deel van de verantwoordelijkheid te nemen, en het is aan de operationele afdelingen om de AVG in de praktijk te brengen.
Welke technologische evolutie heeft volgens jou de meeste impact op gegevensbescherming (positief/negatief)?
Céline: De komst en het wijdverspreide gebruik van kunstmatige intelligentie, dat zowel kansen als risico’s met zich meebrengt, is zeker een van de grootste uitdagingen waar DPO’s vandaag de dag voor staan.
Wat zijn jouw ervaringen in het contact tussen DPO en betrokkene/toezichthouder?
Céline Relaties met betrokkenen vinden voornamelijk plaats in het kader van hun verzoeken om hun rechten uit te oefenen. Wat mij betreft worden deze verzoeken intern afgehandeld door het Complaints & Privacy-team, en in samenwerking met hen voor de meest complexe gevallen. Op dit moment ontvangen we zelden directe vragen van betrokkenen over de verwerking van hun gegevens.
Wat is jouw gouden tip om gegevensbescherming en informatieveiligheid hoger op de agenda van het management te krijgen?
Céline: Wat besluitvormers vaak aanspreekt, is de balans tussen gegevensbeheer en operationele, reputatie- of juridische risico’s. Het feit dat we de boetes die worden opgelegd door de gegevensbeschermingsautoriteiten steeds vaker in de pers zien, verhoogt ook het bewustzijn van het management. De uitdaging is om de AVG niet te presenteren als de zoveelste controle of beperking, maar als een echte kans voor verbetering.
Intern is de AVG een integraal onderdeel van de aandachtspunten van het Management Committee. Elk kwartaal wordt er gedetailleerd gerapporteerd over de naleving van de AVG, rechtstreeks door de DPO aan het comité zelf.
Positief is dat ik zie dat de volwassenheid van de verschillende spelers voortdurend toeneemt, of het nu gaat om AVG of om risico’s in het algemeen.
Wat is jouw Zwitsers zakmes als DPO?
Céline: Samenwerking en informatie.
Samenwerking tussen de verschillende interne afdelingen is essentieel wanneer je te maken hebt met een functie-overschrijdende kwestie zoals de AVG. Er zijn geen kant-en-klare instructies voor het bereiken van naleving van de AVG: de kwesties die aan de orde worden gesteld, moeten per geval worden behandeld en de ondersteuning van de juridische, compliance- en IT-teams is essentieel. Er is ook een privacyvertegenwoordiger aangesteld op elke interne afdeling, die fungeert als doorgeefluik voor de AVG-kwesties van de afdeling.
Ook is het van vitaal belang om iedereen in het bedrijf op de hoogte te houden. De AVG wordt vaak gezien als een “obstakel om dingen gedaan te krijgen”, waardoor het bedrijf niet kan werken, prospectie wordt belemmerd of processen worden bemoeilijkt. Maar als het waarom op een duidelijke en toegankelijke manier wordt uitgelegd, of als de voordelen van deze of gene actie aan collega’s worden gepresenteerd alsof ze zelf de betrokkenen zijn (“Hoe zou u reageren als u wist dat deze of gene verwerking werd uitgevoerd met uw gegevens? Hoe zou u reageren als u wist dat uw bank van plan was uw gegevens op deze manier te delen? – En wat als het de gegevens van uw kinderen waren?”), komt de boodschap meteen beter over.
Hoe blijf je op de hoogte van nieuwe trends in AVG-technologie en wetgeving?
Céline: Het onderwerp is enorm en voortdurend in ontwikkeling. Daarom probeer ik zo goed mogelijk op de hoogte te blijven via gespecialiseerde websites, de websites van gegevensbeschermingsautoriteiten bijvoorbeeld, of ad-hoc groepen op sociale netwerken.
Er zijn ook steeds meer seminars en trainingen over dit onderwerp. De banksector heeft ook een speciale werkgroep binnen Febelfin (de Belgische Federatie van de Financiële Sector).
Wat de Belgische en internationale jurisprudentie over dit onderwerp betreft, neem ik al 2 jaar deel aan de sessies ‘Stay Tuned als DPO’, georganiseerd door het Data Protection Institute. Naast het gedetailleerde materiaal dat experts voor ons analyseren tijdens elke ‘Stay Tuned’-sessie, is het feit dat we andere DPO’s kunnen ontmoeten en met hen kunnen praten een echte bonus.