In het kader van talentontwikkeling binnen Lex Digitalis heeft ons team Jong Talent recent een interne training gevolgd op het gebied van privacy-management. Deze training had als doel jonge professionals, veelal collega’s met een juridische achtergrond, bekend te maken met de belangrijkste principes, rollen en processen binnen gegevensbescherming en hoe deze in de praktijk vormgegeven worden binnen organisaties. Deze informatie kan voor veel jonge privacyprofessionals waarde hebben. Daarom vertellen wij je hieronder meer. We lichten in dit artikel toe wat de opbouw en de inhoud van de training is, hoe de theorie in de praktijk is gebracht en dat wij als Lex Digitalis deze training in het nieuwe jaar ook gaan aanbieden aan onze klanten.
Randvoorwaarden voor succesvol privacymanagement
Een goed werkend privacymanagementsysteem is meer dan het naleven van wet- en regelgeving. Het vraagt om structuur, betrokkenheid en continue aandacht binnen de organisatie. Tijdens de training werden de volgende randvoorwaarden voor succesvol privacymanagement besproken.
1. Duidelijke governance en eigenaarschap: privacy moet verankerd zijn in de organisatiestructuur. Dat betekent dat er heldere rollen, verantwoordelijkheden en besluitvormingslijnen moeten zijn.
2. Integraal beleid en strategie: privacybeleid is niet slechts een document, maar onderdeel van de organisatievisie. Een duidelijke strategie helpt bij het stellen van prioriteiten en het maken van afgewogen keuzes.
3. Bewustwording en gedrag: medewerkers vormen de sleutel tot naleving. Structurele training, communicatie en voorbeeldgedrag van het management dragen bij aan een privacybewuste cultuur.
4. Effectief risicomanagement: door privacyrisico’s te identificeren, te beoordelen en te beheersen, kan een organisatie proactief handelen in plaats van reactief.
5. Continu verbeteren (Plan Do Check Act-cyclus): privacybeheer is een doorlopend proces van plannen, uitvoeren, controleren en verbeteren. Alleen zo blijft privacymanagement effectief en toekomstbestendig.
6. Ondersteuning vanuit het management – succesvol privacymanagement vraagt om actieve betrokkenheid en keuzes van het management. Zonder draagvlak op strategisch niveau blijven initiatieven vaak versnipperd of vrijblijvend.
Deze onderwerpen werden niet alleen theoretisch toegelicht, maar ook besproken aan de hand van praktijkvoorbeelden en interactieve opdrachten.
Leren vanuit verschillende perspectieven
Een belangrijk onderdeel van de training was om de cursisten te laten ervaren hoe divers het werkveld van gegevensbescherming is en dat privacymanagement nodig is om de juridische aspecten te kunnen borgen. We gingen in op zowel de rol van de functionaris gegevensbescherming (FG) als de rollen van privacy officers, juristen, IT-specialisten, security professionals en privacymanagers. Op deze manier kregen de professionals een breed beeld van de samenwerking die noodzakelijk is om privacy effectief en integraal te borgen.
Om die samenwerking tastbaarder te maken, werd het Three Lines Model van het Institute of Internal Auditors besproken. Het three lines model, voorheen bekend als het three lines of defense model, beschrijft hoe organisaties hun governance en interne beheersing organiseren via drie lijnen. Dit model is in veel organisaties in meer of mindere mate geïmplementeerd en voor de jonge professionals werd duidelijk hoe de privacyrollen, verdeeld over deze lijnen, samenwerken.
Eerste lijn: de business: afdelingen en medewerkers die dagelijks persoonsgegevens verwerken en verantwoordelijk zijn voor het naleven van beleid en procedures.
Tweede lijn: ondersteuning en toezicht: functies zoals privacy officers en securityspecialisten die kaders opstellen, adviseren en toezien op naleving.
Derde lijn: onafhankelijke beoordeling-internal audit, die de effectiviteit van het beleid evalueert en verbetervoorstellen doet.
Tijdens de training werd aan de hand van praktijkvoorbeelden duidelijk hoe dit model in de praktijk werkt: hoe verantwoordelijkheden verdeeld kunnen worden, waar de samenwerking soms stokt, en hoe organisaties het model kunnen gebruiken om privacygovernance te versterken. Uit de praktijkvoorbeelden werd duidelijk dat organisaties er soms voor kiezen om af te wijken van het model. De FG bevindt zich bijvoorbeeld in de financiële sector geregeld in de tweede lijn. Dat is geen probleem, mits de onafhankelijkheid en de directe toegang tot het bestuur of de directie gewaarborgd zijn.
Casussen uit de praktijk
In het afsluitende onderdeel van de training pasten de cursisten hun kennis toe in een aantal praktijkgerichte casussen. De eerste casus richtte zich op het op orde brengen van het register van verwerkingen bij een fictieve gemeente, inclusief aandacht voor proces en governance, tooling, bewustwording en communicatie. De professionals onderzochten hoe verantwoordelijkheden binnen dit proces kunnen worden ingericht, welke ondersteunende middelen beschikbaar zijn en hoe medewerkers actief betrokken kunnen worden bij het onderhoud en de actualisatie van het register.
De tweede casus draaide om de aanpak van een grootschalig datalek bij een fictieve rechtbank. Hierbij stonden onder meer de interne coördinatie, communicatie met betrokkenen en de melding aan de toezichthouder centraal.
In beide opdrachten werkten de professionals in groepen aan een korte presentatie, waarin zij hun aanpak, geïdentificeerde knelpunten en een stappenplan presenteerden aan de trainers en de andere professionals. Met de directe vertaling van de theorie naar de praktijk ontstond een waardevolle interactie waarin naar voren kwam dat het onvoldoende is om alleen de juridische kaders te kennen, maar juist wat ervoor nodig is om de wet toe te passen in de praktijk.
Een investering in de toekomst
Met deze training investeert Lex Digitalis in de ontwikkeling van het team met jonge professionals. Door hen vroegtijdig kennis en vaardigheden bij te brengen, wordt een stevige basis gelegd voor verdere groei binnen het vakgebied van gegevensbescherming.
De professionals waardeerden de training positief, met name vanwege de combinatie van theoretische verdieping en praktische toepassing. Zij gaven aan dat de training hen heeft geholpen om privacymanagement niet alleen als complianceverplichting, maar vooral als strategisch organisatievraagstuk te benaderen.
Hoe is privacymanagement ingericht in jouw organisatie ? Wordt het onderwerp al benaderd als een strategisch organisatievraagstuk? Met onze expertise kan Lex Digitalis jouw organisatie helpen. Meer weten? Neem dan contact op met Elly (elly.vanviegen@lexdigitalis.nl, 06-24 89 77 98).
Lijkt je de inhoud van deze training interessant? In het nieuwe jaar gaan we deze training ook extern aanbieden. Volg ons op LinkedIn, en je bent als eerste op de hoogte!
Dit artikel is geschreven door Ellien van den Assum en Carin van Oosten
