Geconfronteerd met de uitdaging om haar interne Data Protection Officer (DPO) te vervangen, wendde onze klant - een filiaal van een internationale bank gespecialiseerd in hypotheken - zich tot ons voor ondersteuning. We begonnen met een eerste beoordeling om de situatie in kaart te brengen en sindsdien zorgen we ervoor dat de bank blijvend voldoet aan de AVG. Omdat onafhankelijkheid een cruciaal onderdeel is van de rol van de DPO, is het altijd een goed idee om deze belangrijke taak uit te besteden aan een externe partij, zoals Projective Group.
Een uniek profiel voor een unieke rol
Onze klant is een filiaal van een internationale bank die gespecialiseerd is in hypotheken en van plan is om zijn diensten uit te breiden met vermogensbeheer. Toen de bank plotseling werd geconfronteerd met het verlies van zowel de interne Data Protection Officer (DPO) als de Privacy Officer (PO), ontstond een probleem. Hoe vervang je iemand met de complexe verantwoordelijkheid om zowel de activiteiten van de organisatie als de complexiteit van privacy wet- en regelgeving door en door te begrijpen?
Omdat Projective Group een langdurige relatie heeft met deze klant, en we eerder met hen hebben samengewerkt aan verschillende compliance gerelateerde projecten, wendden ze zich tot ons. "De ideale DPO moet uitgebreide juridische kennis kunnen combineren met praktisch inzicht in de activiteiten van de organisatie. Hij of zij moet ervoor zorgen dat het privacybeleid naadloos aansluit op de dagelijkse werkzaamheden," zegt Eric, die deze uitdaging is aangegaan.
De ideale DPO moet uitgebreide juridische kennis combineren met praktisch inzicht in de activiteiten van de organisatie.
Eric de Vries, Externe Fuctionarig Gegevensbescherming
Van een quick scan tot blijvende resultaten
Zoals altijd was het eerste wat we deden een quick scan van het niveau van compliance met privacy wetgeving. We controleerden of het beleid, de processen, de website, documenten, privacy verklaring enz. in overeenstemming waren met de wettelijke vereisten vanuit de AVG. Deze basisbeoordeling is cruciaal om onze aanbevelingen te rechtvaardigen en gebieden voor verbetering te identificeren.
Een van de dingen die uit deze scan naar voren kwam, was de behoefte aan meer privacy awareness onder medewerkers. "Een van de dingen waar we allemaal over hebben gehoord als het gaat om privacy, is datalekken. De meeste lekken worden veroorzaakt door werknemers - niet met kwade bedoelingen, maar per ongeluk. Een document achterlaten in de trein, per ongeluk een e-mail doorsturen naar iemand die de inhoud niet mag zien.... Door het bewustzijn rondom deze risico's te verbeteren, wordt de kans op datalekken aanzienlijk verkleind," zegt Eric.
De meeste datalekken worden veroorzaakt door werknemers - niet met kwade bedoelingen, maar per ongeluk. Het verbeteren van privacy awareness vermindert de kans op data inbreuken aanzienlijk.
Eric de Vries, Externe Fuctionarig Gegevensbescherming
Het belang van onafhankelijkheid
Of het nu gaat om een risicobeoordeling, een data privacy impactanalyse, regelmatige bijeenkomsten met stakeholders of het signaleren van kritieke privacy- en data beschermingskwesties, de DPO moet altijd vrij zijn van druk van bovenaf of belangenverstrengeling. Onafhankelijkheid is een fundamenteel onderdeel van de rol van de Functionaris Gegevensbescherming. Daarom kan het beter zijn om deze functie uit te besteden aan een externe partij die niet alleen onafhankelijk is, maar ook uitgebreide praktische ervaring en een holistische visie meebrengt.
"Een goede DPO zorgt ervoor dat je de risico's hebt afgedekt, maar zal tegelijkertijd niet tegen alle projecten nee zeggen omdat ze te risicovol zijn. Je hebt iemand nodig die onafhankelijk en ervaren is en de ins en outs van de organisatie kent," zegt Eric. "Het voordeel van externe DPO's is dat ze snel inzetbaar zijn, maar ook betrokken kunnen blijven voor een langdurige samenwerking. Hoe beter ze de processen van de organisatie leren kennen, hoe beter ze kunnen meedenken met de organisatie over effectieve oplossingen en mogelijkheden."
Eric is twee dagen per week beschikbaar voor de klant, maar zijn agenda is flexibel als er dringende problemen zijn, zoals een lek op data . Je hoeft je dus geen zorgen te maken over beschikbaarheid, zelfs niet met een externe DPO.
Conclusie
In een wereld waarin de regels rondom data privacy voortdurend veranderen, is het hebben van een betrouwbare en flexibele Data Protection Officer een strategisch voordeel, zelfs als een organisatie daar wettelijk niet toe verplicht is (want dat geldt niet voor alle bedrijven). Er zijn veel voordelen verbonden aan het inhuren van een externe DPO, van een grotere onafhankelijkheid tot een brede kennis van wet- en regelgeving in verschillende branches en inzicht in praktische implementatie.
Ben je op zoek naar een DPO om flexibel in te huren? Voor een samenwerking op korte of lange termijn? Onze privacy consultants zijn vakkundig en ervaren en kunnen de functie van DPO op een praktische en professionele manier invullen, maar ook ondersteuning bieden aan een intern privacy team.
Over Projective Group
Projective Group is opgericht in 2006 en is een toonaangevende veranderspecialist voor de financiële sector. Met diepgaande expertise op practices in Data, Payments, Transformatie en Risk & Compliance.
We worden binnen de sector erkend als een provider van complete oplossingen, die samenwerkt met klanten in de financiële dienstverlening om oplossingen te bieden die zowel holistisch als pragmatisch zijn. We hebben ons ontwikkeld tot een betrouwbare partner voor bedrijven die willen gedijen en bloeien in een steeds veranderend landschap van financiële dienstverlening.
