Datum
24.10.2024
In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde.
Pierre Remacle,DPO Société Wallonne des Eaux (SWDE) beantwoord deze graag.
Hoe ben je in de rol van DPO verzeild geraakt?
Pierre: “De vorige DPO stond op het punt om met welverdiend pensioen te gaan en de verwerkingsverantwoordelijke was op zoek naar een opvolger. Ik solliciteerde naar de functie en, blijkbaar misschien wel de enige…, mijn sollicitatie werd geaccepteerd en ik begon op 1 februari 2019 met mijn werkzaamheden, waarbij ik 50% van mijn tijd als DPO zou werken.”
Welk deel van het takenpakket van een DPO geniet jouw voorkeur?
De toepassing van de GDPR concreet maken door vragen of verzoeken om advies van mijn collega’s, de GDPR-verantwoordelijken op de afdelingen of het management van de gegevensbeheerder te beantwoorden.
Mezelf voortdurend blijven bijscholen, met name via de opleidingen van het DPI (Date Protection Institute), die een bevoorrecht forum vormen voor informatie die wordt toegelicht door specialisten, maar ook een plaats voor het uitwisselen van praktijken en … moeilijkheden waarmee DPO’s worden geconfronteerd.
Leiding geven aan het team van GDPR aanspreekpunten (minstens één per departement): eind 2024 zal de CIO hen een inleidende opleiding geven in gegevensbescherming, waarbij theorie en praktijk worden afgewisseld, wat een essentiële voorwaarde is voor een nieuwe “GDPR”-impuls van de DPO en de herlancering van de vergaderingen, plenair of bilateraal, met de referenten van de GDPR en de DPO.
Het personeel, in samenwerking met de CISO (Chief Information Security Officer), bewust maken van de noodzaak om gegevens te beschermen, met name tegen kwaadaardige computeraanvallen.
Welke gebeurtenis in het privacy landschap heeft jou tot op heden het meest getroffen/geraakt?
Pierre: “Het was een externe gebeurtenis die me het meest geraakt heeft: de computeraanval op een ziekenhuisnetwerk in mei 2022! Op een cyberbeveiligingsdag in februari 2024 gaf de IT-manager van dit netwerk uitleg over de gevolgen van deze hack en de acties die werden ondernomen om dit te verhelpen, in samenwerking met en met de steun van het CCB (Centrum voor Cyberveiligheid België) en het CERT (Cyber Emergency Response Team).”
Hoe zou je de rol van DPO in jouw bedrijf beschrijven?
Ik zou 3 rollen willen benadrukken:
– een effectieve hulpbron zijn voor de gegevensbeheerder en alle medewerkers, bijvoorbeeld voor specifieke vragen of voor het opzetten van nieuwe verwerkingen
– leiding geven aan het interne systeem voor de bescherming van persoonsgegevens met het team van GDPR-aanspreekpunten die in de verschillende afdelingen zijn aangesteld
– doelen stellen voor het verbeteren van de naleving van de GDPR en andere wetgeving (bijv. de camerawet) als onderdeel van een meerjarenplan.
Wat is volgens jou de grootste uitdaging voor een DPO?
Zorgen voor de duurzaamheid van een effectief wereldwijd beheersysteem voor alle GDPR-vereisten en -kwesties in de breedste zin van het woord, door op de hoogte te blijven van technologische en wettelijke ontwikkelingen, alle interne belanghebbenden erbij te betrekken en hun betrokkenheid bij gegevensbescherming te versterken.
Welke technologische evolutie heeft volgens jou de meeste impact op gegevensbescherming (positief/negatief)?
Artificiële intelligentie: het is moeilijk om de impact ervan op dit moment in te schatten! De gegevensbeheerder onderzoekt de manieren waarop AI kan worden gebruikt en de voordelen die het voor ons bedrijf met zich meebrengt, en gaat daarbij verder dan gemeenplaatsen en aankondigingen.
Wat zijn jouw ervaringen in het contact tussen DPO en betrokkene/toezichthouder?
Bij klanten blijf ik in principe in de tweede lijn om de medewerkers van de Klantenservice te adviseren, die in de eerste lijn zitten om te reageren op juridische vragen van klanten.
Bij personeelsleden en afdelingshoofden ben ik voor hen beschikbaar op de eerste lijn en stel ik acties voor die ik nodig acht via hun aanspreekpunten (bijvoorbeeld het bijwerken of creëren van verwerkingsfiches of gegevensbeschermingseffectbeoordelingen (DPIA’s)).
Wat is jouw gouden tip om gegevensbescherming en informatieveiligheid hoger op de agenda van het management te krijgen?
Vergaderingen houden met een lid van het management, zowel formeel (ten minste eenmaal per maand, met een schriftelijke beschrijving van actuele kwesties) als informeel, met name om hun aandacht te vestigen op nieuwe ontwikkelingen op het vlak van de GDPR en de potentiële risico’s die deze met zich meebrengen als ze niet worden gecontroleerd door de verantwoordelijke voor de verwerking.
Een jaarlijks actieplan voorstellen (met aanpassingen aan het meerjarenactieplan) ter goedkeuring door het hele managementteam (directiecomité), indien nodig met een voorstel voor een specifiek budget.
Wat is jouw Zwitsers zakmes als DPO?
Mijn ervaring met de werking en structuur van de gegevensbeheerder, die al meer dan 35 jaar mijn werkgever is.
Als uitvloeisel daarvan, kennis van de collega’s die direct betrokken zijn bij gegevensbescherming, naar hen luisteren en voortdurend contact met hen houden.
Een ander gevolg is het vermogen om doelstellingen, beperkingen en obstakels in perspectief te plaatsen: gegevensbescherming is een continu verbeteringsproces!
Hoe blijf je op de hoogte van nieuwe trends in AVG-technologie en wetgeving?
Voor de GDPR-wetgeving maak ik er een erezaak van om de 4 opleidingsdagen bij te wonen die elk jaar worden georganiseerd door DPI (met name de Stay Tuned As DPO) die mij mijn initiële opleiding (DPO-certificering) heeft gegeven: zelfs als een sessie in mijn vakantie valt, kies ik dan voor de online formule.
Een andere bron is juridische monitoring, zowel door de juridische afdeling van de verwerkingsverantwoordelijke als door het advocatenkantoor dat gespecialiseerd is in gegevensbescherming (deze laatste organiseert ook regelmatig webinars over nieuwe ontwikkelingen in de GDPR), evenals het raadplegen van de DPO-website (ik abonneer me op de DPO-nieuwsbrief). Ik ben ook aangesloten bij DPO-pro en haar website.
Wat IT-technologie betreft, ben ik op zoek naar een basisopleiding die mij, zonder dat ik een IT-expert word, in staat stelt om een algemeen beeld te krijgen van deze technologie, om vragen van de GDPR te beantwoorden met betrekking tot technische en organisatorische maatregelen en vooral om ervoor te zorgen, door een minimale beheersing van IT-terminologie, dat de antwoorden die ik krijg van IT-specialisten overeenkomen met mijn vragen, correct zijn en voldoende gedetailleerd.
DPI-trainingen en de GBA-website bieden ook informatie over dit onderwerp (op 19 september 2024 publiceerde de GBA bijvoorbeeld een informatieve brochure over “Kunstmatige intelligentiesystemen en de GDPR vanuit het perspectief van gegevensbescherming”).
Datum
24.10.2024
