De waakhond die liever aan de voorkant al blaft

Wat betekent het om een waakhond te zijn in een organisatie die zelf als dé privacywaakhond van Nederland wordt gezien? De functionaris gegevensbescherming van de Autoriteit Persoonsgegevens, Erwin Daverveld, vertelt over zijn rol, de balans tussen toezicht houden en ondersteunen, en de uitdagingen van een steeds sneller digitaliserende wereld.

Zie jij, in de rol van FG van de AP, een taak als waakhond?

“Als functionaris gegevensbescherming (FG) bij de Autoriteit Persoonsgegevens (AP) ben ik verantwoordelijk voor het intern toezicht op de naleving van gegevensbescherming en de privacywetgeving. Dit omvat onder andere het beoordelen van data protection impact assessments (DPIA’s) en data transfer impact assessments (DTIA’s), het gevraagd en ongevraagd adviseren van bestuur en management, en het verhogen van het bewustzijn rondom gegevensbescherming in de organisatie. Daarnaast ben ik contactpersoon tussen de AP en andere betrokken partijen. Mijn focus ligt op het voorkomen van problemen aan de voorkant, zodat er juist op het eind geen waakhond nodig is.”

Naast toezicht heb je dus ook een adviserende rol?

“De term waakhond heeft vaak een negatieve lading. Ik zie mezelf meer als een interne toezichthouder die er is voor iedereen. Maar ik ben er inderdaad niet alleen om toezicht te houden. Ik ben er ook om burgers en collega’s in de organisatie te ondersteunen. Onder andere bij vragen over de verwerking van hun persoonsgegevens door of namens de AP en het naleven van de wetgeving. Mijn streven is om laagdrempelig te zijn, toegankelijk te blijven en mensen te helpen leren wat wel en niet werkt. En hen te stimuleren vooral te denken in kansen en mogelijkheden in plaats van in wat niet mag.”

Kunnen externen ook bij jou en de AP terecht met vragen?

“Ja, externen kunnen altijd bij mij en de AP terecht met hun vragen over gegevensbescherming door de AP. De AP hecht veel waarde aan toegankelijkheid. We zorgen ervoor dat vragen snel worden beantwoord. Als FG beheer ik zelf de FG-mailbox, zodat ik direct kan reageren en ondersteuning kan bieden. Hierdoor kunnen we snel schakelen en ervoor zorgen dat iedereen de juiste informatie krijgt.”

“De AP wordt in de media vaak neergezet als dé waakhond van de privacy. Maar we doen ook veel aan voorlichting en ondersteuning van organisaties”

Hoe zie jij de AP wat betreft de bescherming van persoonsgegevens?

“De AP wordt in de media vaak neergezet als dé waakhond van de privacy. Zeker omdat er veel aandacht is voor de handhavende rol, zoals het opleggen van boetes. Maar naast deze rol doen we ook veel aan voorlichting en ondersteuning van organisaties. De AP publiceert richtlijnen, organiseert bijeenkomsten en biedt een FG-lijn waar functionarissen gegevensbescherming terechtkunnen met vragen. We werken hard om transparanter te zijn en een meer ondersteunende rol te vervullen.”

Hoe helpt de AP bedrijven om te voldoen aan de wetgeving?

“Naast het handhaven van de wet biedt de AP dus richtlijnen, handleidingen en een FG-lijn. We zijn aanwezig op bijeenkomsten en in netwerken, en delen informatie via bijvoorbeeld nieuwsbrieven. Organisaties kunnen ons benaderen met vragen, en we bieden ondersteuning bij complexe vraagstukken. Ons doel is niet alleen om te handhaven, maar ook om organisaties verder te helpen en te voorkomen dat ze in problemen komen.”

Wat zijn veelvoorkomende fouten bij gegevensbescherming?

“Een van de grootste fouten is het gebrek aan bewustzijn over de waarde en kwetsbaarheid van data. Mensen realiseren zich vaak niet hoe groot de impact van een hack kan zijn. Zowel qua reputatie als op financieel vlak, maar ook de eventuele gevolgen voor betrokkenen (afpersing, identiteitsfraude, et cetera). Privacy wordt soms als ‘onsexy’ gezien, terwijl het cruciaal is om gegevens aan de voorkant goed te beveiligen. Een ander veelvoorkomend probleem is dat organisaties niet altijd de principes van ‘privacy by design’ en’ privacy by default’ toepassen. Deze aanpakken zijn van cruciaal belang om gegevensbescherming vanaf het begin en op alle niveaus van een project of proces te waarborgen.”

Wat houdt dit in?

“Privacy by design houdt in dat privacy en gegevensbescherming al vanaf de ontwerpfase van systemen, producten en diensten worden ingebouwd. Privacy by default betekent dat standaardinstellingen zo zijn geconfigureerd dat ze de privacy van gebruikers maximaal beschermen. Zonder dat daar extra actie voor nodig is. Het niet naleven van deze principes kan leiden tot verhoogde risico’s voor de privacy van betrokkenen en de kans op datalekken of andere inbreuken vergroten.”

Hoe kunnen deze fouten worden voorkomen?

“Een eerste en cruciaal aspect voor goede gegevensbescherming is het vergroten van de bewustwording in organisaties. Zonder een breed besef van het belang van privacy kan effectief handelen nauwelijks worden verwacht. Daarnaast moeten organisaties investeren in privacy by design en privacy by default. Het tijdig betrekken van een FG of andere privacy professionals bij processen waarin persoonsgegevens worden verwerkt, helpt ook om problemen te voorkomen. Daarnaast kunnen experts ingehuurd worden voor specifieke vraagstukken, zoals het uitvoeren van DPIA’s of DTIA’s. Het is belangrijk dat organisaties en betrokkenen intrinsiek gemotiveerd zijn om gegevens goed te beschermen en verder te kijken dan alleen de wettelijke verplichtingen.”

Wat zijn de meest voorkomende uitdagingen bij het naleven van de privacywetgeving?

“De snelheid van technologische ontwikkelingen is een grote uitdaging. Het is moeilijk om bij te blijven met de kennis die nodig is om goede adviezen te geven. Daarnaast vergt het naleven van de wetgeving een pragmatische aanpak: oplossingen vinden die werken en aansluiten bij de praktijk. Dit vraagt om een continue inzet en betrokkenheid van iedereen binnen de organisatie.”

Heb je een voorbeeld?

“Bijvoorbeeld de ontwikkelingen op het gebied van de AI-act en AI-tooling. Bij AI-tooling is het belangrijk goed te onderzoeken of het verwerken van alle persoonsgegevens wel noodzakelijk is. Kan het niet met minder persoonsgegevens? Voor welk doel worden de persoonsgegevens verwerkt en is er een grondslag voor deze verwerking aanwezig? Bij het ontwikkelen van AI-tooling merk ik regelmatig dat aan de voorkant niet is nagedacht over de bescherming van persoonsgegevens. En dat privacy by design en privacy by default niet op de juiste manier zijn toegepast. Daardoor moet je aan de achterkant verschillende risico’s mitigeren. Dat zou niet nodig zijn als je rekening houdt met de privacy aan de voorkant.”

“Organisaties moeten niet alleen kijken naar wat wettelijk toegestaan is. Ze moeten ook nadenken over wat maatschappelijk verantwoord is”

Leidt deze snelheid ook tot risico’s?

“De snelheid van digitalisering is een van de grootste zorgen. Data kan snel in verkeerde handen vallen, en de impact van een datalek kan enorm zijn. Dit benadrukt het belang van bewustwording en van de juiste maatregelen aan de voorkant. Wat ons weer brengt bij privacy by design en privacy by default. Ook wordt ethiek steeds belangrijker. Dit is een onderwerp dat steeds vaker expliciet onder de aandacht wordt gebracht door de maatschappij en binnen organisaties. Organisaties moeten niet alleen kijken naar wat wettelijk toegestaan is. Ze moeten ook nadenken over wat maatschappelijk verantwoord is en de vraag stellen: maar willen we dat wel?”

Hoe bepaal je als FG de prioriteiten voor monitoring binnen de AP?

“We gebruiken een information security management system (ISMS) en production information management system (PIMS) voor het vastleggen van gegevensverwerkingen en risico’s. Daarnaast stel ik een toezichtjaarplan op waarin ik prioriteiten bepaal op basis van factoren, zoals verwerkingen met een hoog risico, meldingen van datalekken en de speerpunten van de AP. Ook voer ik jaarlijks een volwassenheidsmeting uit en kies ik incidenteel onderwerpen uit voor nader onderzoek. Deze onderwerpen worden, afhankelijk van relevantie en impact, vastgesteld, onderzocht en intern gedeeld.”

Wat verwacht je van de rol van internal auditors?

“Internal auditors moeten kennis hebben van privacywetgeving en een open en ondersteunende houding aannemen. Ze moeten niet alleen controleren, maar ook adviseren en bijdragen aan bewustwording binnen de organisatie. Het is belangrijk dat auditors samenwerken met de FG en andere betrokkenen. Om er zo voor te zorgen dat processen goed zijn ingericht en problemen aan de voorkant worden voorkomen. Ik word als FG liever aan de voorkant betrokken dan pas op het moment wanneer het (bijna) fout is gegaan.”

Wat kunnen auditors nog meer doen?

“Door regelmatig audits uit te voeren en hierbij aandacht te besteden aan privacy en gegevensbescherming dragen ze bij aan het waarborgen van de privacywetgeving. Auditors moeten daarnaast ook bijdragen aan een veilige en open cultuur waarin mensen elkaar durven aan te spreken. Bijvoorbeeld op onveilige situaties, of het vergrendelen van je computer als je wegloopt, of het hebben van een clean desk. Samenwerking met de FG is daarbij essentieel. Het gaat erom dat iedereen ‘dezelfde richting op werkt’ en intrinsiek gemotiveerd is om gegevens goed te beschermen.”