In het eerste deel van deze blog wil ik het hebben over de verantwoordelijkheid van de DPO en of hij al dan niet persoonlijk aansprakelijk gesteld kan worden voor calamiteiten in de organisatie waarvoor hij werkt. In het tweede deel bespreek ik zijn modus operandi en de vele talenten waarover een DPO moet beschikken: Juridische kennis, ICT-kennis, Businesskennis, Risk Management-kennis, Kunde om te rapporteren aan het Senior Management en Sociale vaardigheden..

Verantwoordelijkheid en aansprakelijkheid

Het is stilaan wel duidelijk en in haast alle artikels over GDPR terug vinden: Data Privacy is Serious Business! En zoals Franklin D. Roosevelt ooit zei: ‘Great power involves great responibility’.

Dit is niet anders voor de DPO of de rol die hij opneemt. Hierdoor rijzen heel wat vragen over de persoonlijke aansprakelijkheid van een Data Protection Officer als er breaches met grote gevolgen worden vastgesteld. Je zal maar de DPO zijn in een organisatie die de medische gegevens verliest van al haar patiënten, of van de overheid die lokaal, gewestelijk of federaal de gegevens van haar inwoners tegen woekerprijzen ziet verschijnen op een of ander duister forum.
Op zich al voldoende om een DPO slapeloze nachten te bezorgen. Maar wat als de Data Protection Authority (DPA) of een gerechtelijke instantie de organisatie en haar directe verantwoordelijke aansprakelijk stelt?

Bestuurders van een organisatie kunnen hun persoonlijke aansprakelijkheid niet uit de weg gaan en zichzelf enkel beschermen door ervoor te zorgen dat er geen calamiteiten gebeuren. Maar bestuurders krijgen advies van hun DPO. Vandaag is die persoonlijke aansprakelijkheid in de GDPR nog een grijze zone. De komende maanden zal WP29 (de Europese werkgroep rond GDPR, vernoemd naar artikel 29 uit de GDPR) de nodige verduidelijking moeten brengen. Wel heeft men vanuit deze organen al uitgesproken ‘niet de DPO te viseren’ in het geval van calamiteiten rond Data Privacy. De algemene verwachting is dan ook dat de aankomende verduidelijking de DPO zal beschermen tegen persoonlijke aansprakelijkheid en dus tegen ontslag op basis van zijn advies als DPO.

Er is echter één grote MAAR. Als de DPO structureel verkeerd en ongefundeerd advies verleent of geen onafhankelijk advies kan geven (lees, als de DPO advies verleent dat de onderneming goed uitkomt i.p.v. gegevens objectief te beschermen) is hij naar alle waarschijnlijkheid wel persoonlijk aansprakelijk.

Advies correct onderbouwen, een degelijke log uitbouwen met de gegeven adviezen en de beslissingen die daaruit voortvloeien en op regelmatige basis extern advies inwinnen, lijkt dus meer dan aangewezen. Dit extern advies kan komen van juristen, specialisten uit de sector of specialisten uit ICT of andere sectoren als het om ICT-projecten gaat. En vergeet hier zeker de DPA niet, ook zij zal, volgens de intenties van onze staatssecretaris, een adviserende en preventieve rol krijgen.
 

Modus Operandi

De grote verantwoordelijkheid en mogelijke aansprakelijkheid van de DPO zorgen ervoor dat zijn rol en modus operandi niet eenvoudig zijn. Hij zal vaak “agent” moeten spelen en ingaan tegen de wens van organisaties om de GDPR te omzeilen. Hij brengt soms moeilijke boodschappen over, maar wil natuurlijk niet als grote schuldige worden aangewezen voor afgesprongen projecten of lagere businessgroei.

Buiten het feit dat een DPO de GDPR in al zijn facetten moet “ademen”, moet hij ook over een aantal specifieke talenten en vaardigheden beschikken om het delicate evenwicht te bewaren tussen de bedrijfsbelangen en de “Data Privacy Rules”:

• Juridische kennis

• ICT-kennis 

• Business-kennis

• Risk Management-kennis 

• Kunde om te rapporteren aan het Senior Management

• Sociale vaardigheden

We lichten elk van deze 6 aspecten hieronder kort toe.

1. Juridische Kennis

De GDPR is een wetgeving met interpretaties, uitspraken, amendementen en contractuele do’s-and-don’ts. Enige kennis van juridische materie om met juristen in gesprek te gaan, is dus zeker op z’n plaats. Bovendien zullen er na de invoering van de GDPR nog juridische evoluties volgen en zal allicht ook de Belgische privacywetgeving veranderingen ondergaan. In de toekomst zullen 
de uitspraken van een kamer of hof hun invloed uitoefenen op de verdere digitalisering en de impact daarvan op bestaande en nieuwe businessprocessen.

2. ICT-kennis

Welk businessproces dat vandaag in om het even welke organisatie start, heeft geen invloed op ICT of heeft geen nood aan ICT-tools of -ingrepen? Een DPO mag geen compromitterende rol vervullen in de organisatie. Dus zal uw DPO  waarschijnlijk niet uit de ICT-afdeling komen. Maar wie kan dan wel die rol op zich nemen? Business & IT Alignment met al zijn complexiteit vormt al enige tijd een belangrijke schakel in organisaties. Onzes inziens heeft de DPO van morgen best de nodige kennis en ervaring op dit gebied. De juiste ICT-vragen stellen en niet het eerste, vaak onbezonnen, antwoord als waarheid nemen. Creatief zijn in zowel de businessprocessen als in ICT-architectuur is cruciaal. Zeker als u niet de DPO wil zijn die enkel berispend en nee-zeggend door de organisatie zwerft als een soort paria die iedereen liever ziet gaan dan komen.

3. Businesskennis

Hetzelfde geldt uiteraard voor businesskennis. De controlerende en soms berispende rol van de DPO moet ook een toegevoegde waarde hebben voor de organisatie. Begrip van het waarom van de business zal hem helpen om te voldoen aan de GDPR en tegelijk het creatieve denkproces binnen uw organisatie op een nieuw spoor te brengen in plaats van het te beëindigen. 

4. Risk Management

Dit is niet nieuw, maar onder de GDPR niet eenvoudiger geworden. Risk Management is meer dan een log bijhouden van risico’s en ook voor de GDPR zal een Excellijst voorleggen niet volstaan. U moet aantonen dat u met gelogde risico’s aan de slag gaat. Dat er verbetering is en dat risico’s verdwijnen of hun impact of waarschijnlijkheid vermindert.

Dat lukt alleen als u erin slaagt risico’s na het oplijsten ook correct in te schatten. Wat is de impact als dit risico een issue wordt en wat is de probabiliteit dat dit gebeurt? Beide vragen bepalen de risicofactor die u moet vergelijken met uw risicoappetijt: welk risico willen we als organisatie wel of niet kennen? Het veiligheidsbeleid wordt samen met de directieraad opgesteld en kan sterk verschillen tussen organisaties. Voor de ene is het hacken van de firewall een klein risico terwijl een specialist dit misschien net anders inschat. Het is dan ook aangewezen om expertise uit de eigen omgeving of van buitenaf in huis te halen. Bovendien schat de DPO risico’s best niet in zijn eentje in. Vraag aan verschillende spelers hun idee van een bepaald risico qua impact en probabiliteit. Dat geeft een genuanceerd cijfer waarmee uw bedrijf aan de slag kan.

5. Kunde om te rapporteren aan het Senior Management

Vanuit zijn operationele rol moet de DPO  rapporteren aan het hoogste orgaan binnen de organisatie. Daarvoor gelden vaak specifieke spelregels. Er zijn managementteams die zeer formeel en geagendeerd te werk gaan en er zijn er die zeer pragmatisch vergaderen. Soms moet een DPO presentaties geven, andere directieleden verwachten een volledig dossier inclusief alle oplossingen en afwegingen x dagen voor de vergadering.

Een DPO moet zich bewust zijn van deze spelregels en zich aan het systeem aanpassen. Wie de ongeschreven regels breekt, zal in een overleg nooit voet aan wal krijgen. En zoals de GDPR duidelijk predikt, is een bewustwording en op termijn een ‘Data Privacy geïntegreerde aanpak’ vanop het hoogste niveau wat een DPO binnen de onderneming wil bereiken.

6. Sociale vaardigheden

Ten slotte willen we nog meegeven dat de DPO handelt vanuit een wetgeving die bedrijven wordt opgelegd en waar ze niet om gevraagd hebben Maar ergernis t.o.v. de “onzichtbare” wetgever houden we niet lang vol. Het is een menselijke reflex om de persoon belast met de uitvoering te vereenzelvigen met de wetgever. De DPO kan dit proces versnellen, of hij kan zijn sociale vaardigheden inzetten om de mens van de professionele opdracht te scheiden. Het zal ervoor zorgen dat bij de start de gesprekken niet met getrokken wapens worden gevoerd en de job op termijn op meer begrip zal kunnen rekenen Het doel is van uw organisatie een “Data Privacy Minded” organisatie te maken.

Conclusie

“Think twice before you act” is onze goede raad aan u. Denk er als organisatie goed over na aan wie u de rol van DPO wilt toevertrouwen, of u intern iemand kiest of een externe consultant aantrekt. De modus operandi van uw DPO zal bepalen hoe u in de toekomst nieuwe initiatieven start, of u snelle en creatieve antwoorden krijgt en hoe u als “Data Privacy Minded” organisatie het vertrouwen wint van de DPA.

De GDPR hoeft niet de zoveelste norm te zijn die uw businessmodel bedreigt. Als u het goed aanpakt, zal deze wetgeving creatieve deuren openen om op een verantwoorde manier uw beschikbare data te gebruiken of vermarkten. Ik voorspel een boeiende periode voor bedrijven die begaan zijn met Data Privacy en de juiste keuzes maken bij onder andere het aanstellen van een DPO.
 

Gert Maton, Senior consultant

Wilt u meer weten over de GDPR of wilt u dat wij u helpen om uw bedrijf klaar te stomen tegen mei 2018, contacteer me dan via  Gert.Maton@realdolmen.com.