Interview: Functionaris Gegevensbescherming Joost Schrieken

Nadat Schrieken zich officieel had laten registreren bij de Autoriteit Persoonsgegevens, is hij aan de slag gegaan als FG bij Waternet. Hier was hij al werkzaam als juridisch controller. Schrieken vertelt Europa decentraal over zijn start als FG en deelt een aantal praktische tips voor anderen die met de implementatie van de AVG bezig zijn.

Starten als FG

Toen Schrieken begon als FG stelde hij via het intranet de hele organisatie op de hoogte van zijn nieuwe aanstelling. “Ik vond het hierbij belangrijk te benadrukken dat de organisatie mij vooral moest gaan zien als de centrale contactpersoon voor alle zaken omtrent de AVG. Een coördinator die de organisatie richting geeft en helpt te structureren door bijvoorbeeld het leveren van handige modellen. De organisatie zou zelf wel verantwoordelijk blijven voor de naleving van de AVG.” Hij kreeg vervolgens alle tijd en ruimte om zijn FG-taken vorm te geven om de organisatie goed te kunnen ondersteunen en straks helemaal AVG-proof te zijn. Net als voor andere decentrale overheden is de AVG ook voor Waternet een belangrijk onderwerp dat invloed heeft op de gehele organisatie. “Twee jaar geleden vond er binnen onze organisatie een grote digitaliseringsslag plaats: 80% van het klantcontact zou digitaal afgehandeld gaan worden. We namen daardoor een nieuwe manier van werken aan (agile/scrum). Op meerdere domeinen moesten er IT-oplossingen komen. Op dit moment zijn deze verschillende domeinen bezig met hoe ze het beste de AVG kunnen implementeren. Ik merk dat de bewustwording steeds groter wordt, onder andere door het stijgende aantal vragen dat ik binnenkrijg.”

Op een interactieve manier aan bewustwording werken

Schrieken gaf onlangs samen met de projectleider en afdeling IT een presentatie over de AVG aan zijn organisatie: wat moet men weten, wat staat er te gebeuren? “Voor deze presentatie hebben we met game-tool Kahoot een interactieve quiz gemaakt waar mensen met hun smartphone of laptop aan konden deelnemen”, vertelt Schrieken. “Ik vind het belangrijk om goed na te denken wat efficiënte manieren zijn om de aandacht van collega’s te krijgen voor de AVG. Teksten op intranet worden vaak niet of nauwelijks gelezen. We merkten dat zo’n interactief en competitief element in een presentatie goed werkte. Mensen vonden het leuk en participeerden. We kozen voor redelijk eenvoudige vragen met antwoorden die zich goed leenden voor een discussie.”

Op zoek naar een praktische opleiding of training

Hoe kunnen beginnende FG’s ervoor zorgen dat ze goed voorbereid aan de slag gaan? Schrieken legt uit dat er een gevarieerd opleidingsaanbod voor FG’s bestaat: van online thuisstudies tot klassikale trainingen van meerdere weken. “Het is lastig om van te voren in te schatten wat nu een kwalitatief goede opleiding is.” In de AVG staat niet dat een FG verplicht een training moet volgen of bepaalde certificaten moet hebben gehaald. Belangrijk is dat de FG in staat is zijn taken goed te vervullen. Uiteindelijk kwam Schrieken bij een opleiding terecht waarvan de hoofddocent naast kennis van de regelgeving zelf ook jarenlange praktische ervaring had. “Ik heb er vanuit praktisch oogpunt veel aan gehad”, vertelt Schrieken. “Er is veel goede literatuur die je op weg helpt, maar die gaan vooral over wát je moet doen, en niet hóe je het moet doen.” Ik heb hier geleerd dat het erg belangrijk is om veel aan bewustwording te doen en dat niet jij als FG, maar je organisatie het moet doen.” De organisatie waar de FG werkzaam is dient hem op verschillende manieren te ondersteunen. Een onderdeel hiervan is dat de organisatie de FG de benodigde middelen tot beschikking dient te stellen om zijn deskundigheid in stand te houden.

Grootste uitdagingen als FG

Wat zijn volgens Schrieken de grootste uitdagingen voor een FG? “Allereerst is het lastig uit de uitvoerende rol te blijven. Je moet jezelf echt zien als coördinator die ervoor zorgt dat de organisatie het zelf gaat doen”, vertelt hij. “Daarnaast is het een uitdaging om te gaan met het spanningsveld dat zich soms voordoet tussen zaken die moeten gebeuren voor de AVG en de belangen van de organisatie waarvoor je werkt. Je moet ervoor zorgen dat je hier als onafhankelijke FG boven staat. De rechten van de betrokkenen (personen wiens gegevens verwerkt worden) wegen voor jou als FG zwaarder, maar je moet tegelijkertijd goed kunnen samenwerken en rekening houden met de belangen van je organisatie.”

Belangrijkste AVG-actiepunten voor 25 mei

“Op 25 mei gaat gecontroleerd worden of organisaties die een FG moeten hebben, daadwerkelijk iemand hebben aangesteld”, vertelt Schrieken. Deze FG moet aangemeld zijn bij de AP. “Verder is het belangrijk om een DPIA-model op te stellen voor wanneer de organisatie deze moet uitvoeren. Daarnaast moeten de interne processen voor het voldoen aan het recht van inzage goed op orde zijn”, voegt hij toe. Mensen hebben het recht om hun persoonsgegevens die door een organisatie zijn verwerkt, in te zien. “In vergelijking met vorig jaar krijgen we al significant meer verzoeken tot inzage binnen.” Het is volgens Schrieken belangrijk dat dit proces goed beheerd wordt. “Dit soort verzoeken kunnen op verschillende manieren binnenkomen, bijvoorbeeld via de telefonische helpdesk. Dit moet allemaal goed doorgezet worden naar de juiste afdeling of persoon. Verder noemt hij het opzetten van een punt waar mensen datalekken kunnen melden. “Hiervoor moet ook het hele proces klaarstaan: wat moet er gebeuren als een datalek zich voordoet? Als de AP erom vraagt, moet je kunnen laten zien wat je hebt gedaan met de meldingen.” Tot slot noemt Schrieken nog het hard werken aan de bewustwording binnen de organisatie. “Als FG moet je aandacht blijven vragen voor privacy door trainingen en andere acties te blijven organiseren.”

De toekomst van privacy

Per 25 mei moeten organisaties voldoen aan de AVG, maar ook daarna liggen er nog veel taken voor FG’s. “Als FG zal ik dan met name gaan controleren op naleving. Daarnaast zal ik plannen van aanpak opstellen om te laten zien dat het privacybeleid van onze organisatie ieder jaar beter wordt.”
Volgens Schrieken is het goed om te zien dat de bewustwording voor het onderwerp privacy groeit bij het grote publiek, onder andere door de recente Facebook-zaak. “Per 25 mei begint het eigenlijk pas echt. Mensen zijn zich bewust van hun rechten en zullen zich daar ook op beroepen. Een goede ontwikkeling”, sluit Schrieken af.