Een opleiding tot Data Protection Officer (DPO)?

Het 4-letterwoord van de komende maanden voor elke ondernemer/marketeer/… gaat toch echt wel GDPR zijn (of de General Data Protection Regulation). De reacties hierop zijn ook altijd fascinerend van rollende ogen tot pure paniek of het in Keulen horen donderen.

Ik ga niet nogmaals een typische “wat is GDPR”-blogpostje hier neerzetten, daarvoor zijn er al duizend andere blogposten online te vinden. Het gaat dus over nieuwe EU-wetgeving rond data protectie van persoonsgegevens, die op 25 mei 2018 in de hele EU van kracht gaat worden (lees: ze is reeds van kracht, maar gaat pas op die datum echt van toepassing zijn).

Wie deze blog geregeld leest heeft al wel wat gelezen ondertussen: privacy van unroll.me, 6 stappen om je security te verhogen, hoe eenvoudig je http-verkeer op wifi onderschept, verslag van de privacyproef,…

Laat ons dus voorzichtig stellen, dat ik me er dit jaar echt in aan het vastbijten ben.

Waarom ik een week lang een DPO-opleiding volgde?

Het probleem met de hele materie is dat iedereen veel hetzelfde ligt te verkondigen, maar dat het nu echt tijd wordt om aan de slag te gaan. Zo gaan sommige bedrijven een zogenaamde Data Protection Officer moeten gaan aanstellen (hieronder meer hierover), maar weet niemand wat die arme mens/Chinese vrijwilliger dan moet gaan doen. 25 mei 2018 is voor vele een magische datum, waar dit eigenlijk maar een milestone is en startpunt van de echte veranderingen.

De beste methode in mijn geval is dan ook me even loskoppelen en er volledig induiken. Daarom was ik dus vorige week elke dag in Mechelen te vinden voor de DPO-opleiding door DP-institute, waar ik braaf op de eerste rij (zonder laptop) me liet meenemen doorheen die hele GDPR-wetgeving.
gecertificeerde freelance DPO voor GDPR

Het verschil met vele popup-opleidingen is dat de opleiding van DP-institute reeds gestart is in 2012 en ondertussen 500 zogenaamde DPO’s heeft afgeleverd. De week met dagelijks 8u les door vele verschillende docenten met dan op vrijdagnamiddag een stevig examen (mondeling, schriftelijk en een hoop best pittige meerkeuzevragen) was dan ook niet echt een ponykamp en vrijdagavond was ik niet veel meer waard.

(Het examen is trouwens een mix van juridische en technische vragen. Zo ga je van wettekst interpretatie over naar een vraag rond MD5 of de werking van SSL 😉 )

Het was dan ook wel leuk om op zondag ook het positief mailtje te krijgen dat ik heb examen goed heb kunnen afleggen en me nu een gecertificeerde Data Protection Officer (DPO) kan noemen.

Zelf moet ik zeggen dat mijn achtergrond met 3 jaar server/database ervaring, 6 jaar SAP HR ervaring en dan nu 3 jaar marketing achtergrond een ideale mix is voor een dergelijke functie als DPO. het enige wat ik duidelijk nog wat mis is meer juridische kennis en het afleggen van mijn cowboy-hoed.

Doordat we tijdens de week trouwens elke dag een andere docent hadden met een andere achtergrond kregen we ook de verschillende interpretaties mee van de wet, want echt sluitend is het zeker nog niet en er blijven interpretatiemogelijkheden.

Leg het mij dan eens allemaal uit Herman!

Ik kijk er al naar uit om dit zinnetje 100keer van collega’s en klanten te gaan krijgen in de komende weken . Dus even een super korte samenvatting van wat ik als de 1 minuut need-to-know bestempel:

1. Voor wie is deze wet?
Alle bedrijven die iets met persoonsgegevens in de EU doen. Persoonsgegevens zijn hierbij zowel privé/zakelijk gegevens van natuurlijke personen. Dus geen overleden personen en dus niet bedrijfsgegevens (maar wel dus je contactpersoon van een klant).

Deze Europese wet wilt een betere bescherming brengen voor de consumenten en vooral zo van die “mopjes” met datalekken gaan voorkomen en bestraffen.

2. Welke bedrijven moeten actie ondernemen? Toch enkel die met minimaal 250 werknemers?
Nope. Verwerk je persoonsgegevens, dan moet je actie ondernemen. Dusja ook alle freelancers die klantenbeheer doen of toegang hebben tot het CRM/ERP/analytics van hun opdrachtgever.

3. Is dat dan niet super veel werk?
Dit hangt volledig van case tot case af. Een garagist met standaard klantenbeheer en wat personeel zal er sneller vanaf komen dan een klein marketingagency met 10 werknemers en 2 vaste freelancers.

Ik zie het meeste werk vooral in het meekrijgen van een heel bedrijf in het nieuwe denken van data bescherming en security (mensen zijn tenslotte de zwakste schakel) en hoe de samenwerking is met andere bedrijven/freelancers/…

Ikzelf ben nu ondertussen bezig een duidelijk stappenplan voor mezelf te gaan uitwerken en een paar testcases te beginnen bij enkele kleine bedrijven.

gdpr - dpo

4. Hoe begin ik daar in godsnaam aan?
Welke processen heb je? Welk type persoonsgegevens verwerk je en waarom? Met wie werk je samen en waar staan je gegevens ergens? Dit moet je gaan samenbrengen in een dataregister (zie deze top downloadpagina van Whitewire).

Daarnaast zal het zaak zijn om nieuwe processen in je bedrijf te brengen: hoe ga ik om met een datalek? Wat als een burger inzageplicht vraagt (enja de EU gaat daar promotie over voeren naar alle burgers)? …

Toptip is trouwens “The Phoenix project”, het IT managementboek dat ik hier eerder heb aangeraden, want onbewust komt er veel van deze problematiek achterliggend in dit boek terug en de noodzaak aan processen.

5. Mag ik nu naar niemand nog mailen?
Volgens vele blogposten wordt GDPR het einde van direct marketing, terwijl dit zeker niet het geval is. Je moet echter nu wel beter gaan nadenken en vooral vooraf gaan kijken op welke verwerkingsgrond je aan direct marketing gaat doen.

Dusja zomaar wat emaillijsten bij elkaar gooien/kopen zal er niet meer inzitten.

6. Heb ik dan ook een (freelance) DPO nodig?
Waar dit bovenstaande dataregister voor iedereen nodig zal zijn (die met persoonsgegevens werkt, wat iedereen is als je klanten hebt), is een DPO niet voor elk bedrijf nodig. Hiervoor zijn er de nodige (vage) voorwaarden: ben je hoofdzakelijk met verwerkingen bezig, verwerk je gevoelige data (kinderen, gezondheidsdata,…) of ben je een overheidsbedrijf (waar je normaal reeds een veiligheidsconsulent hebt)?

Een DPO moet je zien als onafhankelijk (intern of extern) adviseur die mee de krijtlijnen uitzet en bewaakt. Voor vele kleine KMO’s zal het dus gaan om het inhuren via een freelance DPO-as-a-service voor 2-4 dagen/maand, waarbij die DPO meedenkt en de richtlijnen opvolgt.

7. Moet je een certificaat hebben als DPO?
Nope, maar je moet wel de nodige competenties kunnen bewijzen en laten zien dat je de nodige kennis hebt om de officieel aangestelde DPO of Functionaris voor gegevensbescherming te zijn. Het is dus niet echt een junior-functie, die mag gecombineerd worden met andere operationele taken.

Hu?!? ik moet als freelancer ook aan de slag?

Ja, jij bent ook een bedrijf enja jij verwerkt ook persoonsgegevens binnen de EU.

Even in mijn geval:

  • Ik heb een online CRM en facturatie met naast bedrijven ook wat contactpersonen daarin = ik ben verwerkingsverantwoordelijke.
  • Ik heb een nieuwsbrief en marketing automation systeem (profiling dus) = ik ben verwerkingsverantwoordelijke.
  • Ik heb toegang tot de Google Analytics en andere marketingtools van mijn eigen klanten = ik ben verwerker.
  • Ik heb toegang tot alle accounts via via = ik ben sub-verwerker van mijn opdrachtgevers.

Ik moet dus 2 dataregisters maken, dringend wat contracten gaan laten opstellen over mijn aansprakelijkheid als (sub)verwerker en nakijken of ik alles wel volgens de regels doe. Niet overkomelijk en een goede oefening voor mezelf.

Fuck it, ik wacht wel af tot 2019

Een typisch Belgische mentaliteit, die het proberen waard is (als je zelf denkt dat risico te durven nemen). Weet dan wel dat ze in onze omringende landen al een stukje verder staan. Zo zal de nationale controlepartij (DPA) in sommige van onze buurlanden zelfbedruipend moeten zijn (als in die gevreesde boetes tot 4% van je omzet te gaan gebruiken).

In Spanje gaf de DPA gisteren FB nog een leuke boete en ook in de UK zijn ze bijvoorbeeld al druk bezig.

gdpr boetes

De samenstelling van onze Belgische privacycommissie gaat nog hard wijzigen en daardoor kan de richting hiervan nog hard verschillen. Ze zijn ook in België alvast gestart met het aanwerven van meer technische profielen.

Daarnaast zijn ook alle grote bedrijven al hard aan het werk en ook Google is deze week een tandje hoger gegaan (met het vragen van nadrukkelijke consent voor Adwords features en de nieuwe self-service portal uit slim strategisch oogpunt).

Als dienstverlener zal je dus gegarandeerd in aankomende pitches en offerterondes de nodige vragen beginnen krijgen. Ook vanuit bedrijven in Nederland, Frankrijk en Duitsland zullen de kritische GDPR vragen zeker beginnen komen in de komende maanden.

het is dus maar in welke sector je zit. Ben je een bakker of schoenmaker of ben je een agency met toegang tot tientallen klantenaccounts? Enja je zal ook geregeld te maken gaan hebben met een datalek!

Mijn advies?

De letter of de geest van de GDPR wet is natuurlijk een duidelijk verschil. Dat we als consumenten niet meer kunnen lachen met datalekken van onze persoonlijke gegevens lijkt me duidelijk. Dat we vragen stellen bij reclameborden die ons kunnen filmen is ook niet meer dan logisch.

Dus aan jou de keuze: meedoen om puur die checkbox af te gaan vinken of mee te gaan in deze nieuwe gedragswijziging?

Wie is er trouwens ook al aan de slag of kijkt nog even de kat(ten) uit de boom?


Gerelateerde berichten

Herman Maes - online marketeer seo freelancer

Herman Maes

Online marketeer en (tech)blogger sinds 2002. Freelancer (SEO en Digital marketing) met Dailybits als SEO/Hubspot/Marketing Technology Teamlead en thuis de papa van een zoon en een dochter.

Schrijf je in op de maandelijkse Dailybits mailing met een behind-the-scene blik.

3 comments

Submit a comment

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *