Eén van de voornaamste taken van de Data Protection Officer (DPO) of functionaris gegevensbescherming (FG) is het geven van advies over informatiebeveiliging en privacy. De verwerkingsverantwoordelijke is verantwoordelijk voor het opstellen en uitvoeren van het privacybeleid. De DPO adviseert op zijn/haar beurt over hoe gegevensverwerkingen rechtmatig, behoorlijk en transparant kunnen plaatsvinden, rekening houdend met de principes van privacy by design en privacy by default. De Data Protection (DPO) is er niet verantwoordelijk voor of zijn/haar adviezen wel of niet worden uitgevoerd. Wel moet hij of zij en de verwerkingsverantwoordelijke van de organisatie samen vastleggen wat er met de adviezen van de DPO gebeurt. De verwerkingsverantwoordelijke moet onderbouwen waarom bepaalde adviezen eventueel niet zijn overgenomen (‘comply or explain’). Met zijn adviserende rol ziet de Data Protection Officer toe op de juiste naleving van de AVG. Waarop moet je als DPO letten als je feedback geeft? Hoe ga je om met weerstand?
Steun en confrontatie
Een DPO mag zich niet laten meeslepen door de verwerkingsverantwoordelijke. Wanneer een verwerkingsverantwoordelijke bijvoorbeeld bepaalde onderwerpen vermijdt, moet de DPO dat ook niet doen, maar die juist bespreekbaar maken. Een goede DPO durft te confronteren en durft aan te geven waar er verbetering mogelijk is. Organisaties hebben bevestiging en steun nodig op het gebied van informatiebeveiliging en de inrichting van de AVG. Ze hebben het recht om te weten of de dingen die ze doen wel of niet werken. Deze ‘steun’ dient wel gegeven te worden, ook al wordt er niet om gevraagd. Een Data Protection Officer moet vaardig en bekwaam zijn om binnen de organisatie een cultuur van informatiebeveiliging te ontwikkelen.
Feedback
Wanneer je als DPO feedback of advies geeft, gebeuren er twee dingen: ten eerste geef je steun en ten tweede ga je een confrontatie aan. Door feedback of advies enkel te beschouwen als confrontatie, bijvoorbeeld door de verwerkingsverantwoordelijke, worden spanningen verhoogd en wordt de kans dat er actie wordt ondernomen steeds kleiner. Het is van belang ook steun te geven. Stel dat een DPO zijn organisatie adviseert over het wachtwoordbeleid en de verwerkingsverantwoordelijke dit advies ziet als een confrontatie. Dan is het moeilijk samenwerken. Het is dus van belang dat je als DPO jouw advies op zo’n manier overbrengt en dusdanig onderbouwt, dat de organisatie begrijpt waarom een verandering nodig is.
Zonder oordeel
Verder is het belangrijk om in je feedback oordelen te vermijden. Gebruik geen woorden als zwak, sterk, incompetent, besluiteloos, dictatoriaal, enzovoorts. Vermijd zeker ook vage stereotypen. Feedback en advies moet zo beschrijvend, concreet en neutraal mogelijk zijn.
Weerstand
Het is voor een DPO in zijn of haar adviserende rol niet altijd makkelijk om conclusies, adviezen en aanbevelingen te presenteren aan een organisatie. Er kan elk moment weerstand ontstaan. Voor een DPO is het goed om te weten dat kritiek en weerstand niet persoonlijk bedoeld is. Vat het daarom niet persoonlijk op. Benoem de weerstand op een neutrale en concrete wijze, zodat je meer informatie kunt krijgen over de weerstand die is ontstaan. Weerstand overwinnen is één van de moeilijkste dingen voor een DPO.
