Jolien, je bent DPO van een aantal van wat men noemt Dotatiegerechtigde Instellingen. Daaronder vallen instellingen zoals toezichthouders voor gegevensbescherming maar ook bijvoorbeeld het Comité P. Typisch niet meteen de hele grote organisaties en met een heel specifieke opdracht. Hoe ervaar je het om als DPO in deze relatief kleine organisaties aan de slag te gaan? Is het gemakkelijk om een beleid rond gegevensbescherming te ontwikkelen?
Dit hangt sterk af van organisatie tot organisatie. De ene organisatie heeft al een hoger maturiteitsniveau inzake gegevensbescherming dan de andere of werkt soms sneller dan de andere. Het is interessant om te zien dat er niet alleen verschillende maturiteitsniveaus zijn, maar ook verschillende mogelijke en tegelijk goede wegen naar data protection compliance.
Zo heeft elke organisatie diens eigen focus op een domein dat ze net wat belangrijker vinden. Bijvoorbeeld: bij de één is dat uitwisselingen van persoonsgegevens en bij de andere is dat de communicatie met en naar de betrokkenen.
Tijdens de DPO dag van 25/05 stond een enquête voor DPO’s centraal, waarin naar hun algemeen welbevinden gevraagd werd. Wat zijn voor jou de meest herkenbare conclusies uit die enquête?
Het meest herkenbare voor mij is dat ongeveer 33% hun job niet kan loslaten. Voor mij is dit enerzijds wel iets positiefs omdat ik gepassioneerd ben door de materie van gegevensbescherming.
Daarom wil ik verder nadenken over en zoeken naar manieren hoe ik organisaties kan helpen om de gegevensbeschermingsbepalingen te implementeren wanneer bijvoorbeeld één van mijn adviezen niet het nodige effect heeft bereikt. Ik reflecteer vaak over hoe ik zaken heb aangebracht: hebben ze het volledig begrepen, was ik duidelijk genoeg, misschien moet ik het eens op een andere manier formuleren? Enz.
Anderzijds, moet je nadat je je advies hebt verleend en wanneer de organisatie heeft beslist om er niets mee te doen of het niet (volledig) te volgen, het durven loslaten. Het is uiteindelijk de verwerkingsverantwoordelijke die de eindverantwoordelijkheid draagt en niet de DPO. Daarenboven is het niet gezegd dat het zo blijft.
Al verschillende keren heb ik ervaren dat er na verloop van tijd wordt teruggekomen op een dergelijk advies en dat ze er dan toch verder mee aan de slag gaan. Het proces van groei en rijping is dus niet te onderschatten. Dit maakt wel dat je als DPO het nodige geduld aan de dag moet leggen.
Een ander voor mij sterk herkenbaar resultaat is dat DPO’s gelukkiger zijn wanneer zij in een netwerk zitten en een gerichte opleiding inzake gegevensbescherming hebben genoten. Als DPO sta je sowieso sterker als je de nodige opleidingen kan volgen en je blijft bijscholen, wat trouwens een verplichting is vanuit de AVG. Wanneer je met andere DPO’s kan afstemmen in netwerken of werkgroepen, leer je daar ook niet alleen uit, maar helpt dit om weerbaarder te zijn en mentaal te groeien in de job.
Zie je ook meer algemene conclusies die we uit de enquête kunnen trekken om de job van DPO aantrekkelijker te maken?
Eén van de belangrijkste zaken is toch meer samenwerken onder de DPO’s. Vijf jaar geleden had ik soms het gevoel dat bepaalde DPO’s elkaar zagen als concurrenten, terwijl we uiteindelijk allemaal dezelfde taken uitvoeren. Het kan erg leerrijk zijn om te zien hoe een andere DPO een bepaald advies overbrengt bijvoorbeeld.
Bij dat samenwerken vind ik ook dat er ruimte moet zijn voor verschillende profielen en domeinen. We moeten af van de idee dat een DPO een juridische – en/of ICT-achtergrond moet hebben. De rol en de taken van de DPO gaan over zoveel meer, bijvoorbeeld communicatievaardigheden en procesmanagement.
Uit de vragenlijst blijkt dit trouwens: ongeveer 35% van de deelnemers gaf namelijk aan dat de diversiteit van het takenpakket van de DPO moeilijk haalbaar is. Dus, dan kunnen we maar beter over domeinen en profielen heen samenwerken én leren, toch?
De jobtevredenheid bij DPO’s in de overheidssector lijkt net iets minder dan deze in de privésector. Nochtans zie je wel dat DPO’s in de overheid trachten samen te werken bij de uitoefening van hun job en blijkt uit de enquête een positieve opvatting over hun job. Werk jij vaak samen met andere DPO’s in de overheid? Hoe verloopt die samenwerking en merk je dat de meesten onder hen op zich wel tevreden zijn?
Ik werk goed en nauw samen met de DPO van de Kamer en de Senaat en er zijn verschillende werkgroepen waar ik deel van uitmaak op federaal niveau. Uit die overlegmomenten leer ik veel bij en is het deugddoend om soms te vernemen dat we als DPO’s botsen op dezelfde uitdagingen die ook wel eigen zijn aan de job.
Het ventileren daarover tegen elkaar kan helpen, alsook soms de krachten bundelen in vragen stellen ten aanzien van dezelfde verwerker. Helaas, ken ik collega-DPO’s die gekozen hebben voor een andere job omdat ze te veel druk ervaarden of de diversiteit van het takenpakket te zwaar vonden. Ik denk dat het daarom erg belangrijk is dat er wordt ingezet op de sociaal-emotionele en psychologische aspecten binnen de rol van de DPO.
Afhankelijk van hoe je bent, kan bijvoorbeeld een cursus assertiviteit, of net een cursus tactvoller communiceren, erg nuttig zijn.
Hoewel een negatief advies van een DPO op een beoogde verwerking voor een organisatie vervelend kan zijn, en bijgevolg DPO’s misschien vaker wat onder druk worden gezet om niet te kritisch te zijn over op stapel staande verwerkingen, meten we in de enquête niet meteen dat veel DPO’s druk van het management ervaren. Heb jij zo’n druk wel al eens meegemaakt? Heb je tips om hieronder uit te komen?
Ook zoiets waar ik vind dat we vanaf moeten: negatieve versus positieve adviezen van de DPO. Ik geef advies waarbij ik vaak verschillende pistes aanreik: “als je dit doet, dan…”, “als je dat doet, dan…”, enzovoort. Dit is voor mij niet positief noch negatief, maar ik zie dit eerder als hen begeleiden om de keuzes te maken waarbij de gegevensbeschermingsbepalingen worden gerespecteerd.
En ja, ik heb al in situaties gezeten waar ik druk ervaarde. Het belangrijkste daarbij is om objectief te blijven en na te gaan waarom ze die druk zetten. Misschien zit er iets anders achter waar jij (nog) geen weet van hebt? Blijven vragen stellen en zoveel mogelijk informatie verzamelen kan je job vergemakkelijken op verschillende vlakken doordat je dan de context (waaronder de organisatiecultuur) beter begrijpt.
Een andere tip is je rol herhalen met eventueel de nodige verwijzingen naar de AVG. Zo help je hen te begrijpen waarom jij bepaalde zaken adviseert, maar ook documenteert. Daarnaast moet je op een bepaald punt verder gaan en dus niet te lang blijven hangen in een advies waarbij ze bijvoorbeeld nog niet genoeg openstaan voor wat dat advies betekent.
Zoals ik al zei, komt het na verloop van tijd wellicht toch terug en is het ‘gevecht’ dan minder zwaar, omdat er tijd is overgegaan en de organisatie inmiddels ook is veranderd of gegroeid.