NIEUWSARTIKEL

Met het oog op het 20-jarig bestaan van NGFG in 2023 zijn we naast de online reeks Bestuursinzichten door de jaren heen ook gestart met de reeks NGFG leden door de jaren heen. In deze reeks blikken we met oud-leden en huidige leden terug op herinneringen, inzichten en ervaringen als lid van het NGFG. Ook werpen we een blik op de verwachtingen t.a.v. de toekomst. De vierde in deze reeks is Nico Nijenhuis, cerfified data protection expert. We stelden hem tien vragen.

1. Vertel eens iets over je achtergrond en wat heb jij met privacy?
   Mijn keuze om destijds voor IT te kiezen lag voor mij minder voor de hand dan de meeste studiegenoten en latere collega’s. Mijn even grote interesse in psychologie en rechten hebben ertoe geleid dat ik in mijn IT-carrière meer naar de menskant trok en opkwam voor de toenemende impact die IT heeft op de mens en onze maatschappij. Ik vond dat daarvoor in het geweld van concurrentie, klanttevredenheid en rendementsdenken te weinig aandacht was. Mijn maatschappelijk betrokken geluid kreeg gelukkig gehoor en dat bood me de mogelijkheid om kwaliteit, informatiebeveiliging, gevolgd door privacy en ethiek op de kaart te zetten. Hierin heb ik een route bewandeld van QA Manager naar CISO naar FG. Het was de combinatie van privacy en ethiek die mijn passie aanboorde en waarin (onbewust) psychologie, rechten en IT heel mooi samenkomen. Ik nam me voor om mijn intrinsieke en nobele motivatie om de wereld beter te maken, maximaal door te voeren in mijn werk. Hoe groot of klein die impact ook zou zijn. Simpelweg omdat ik daar vrolijk van word. Of dat nou betere beveiliging is, net iets meer privacybescherming of meer ethisch verantwoorde keuzes zijn.
   
   
2. Jij heb een IT-achtergrond. Moet een FG een IT’er zijn of juist een jurist?
   Niet zelden komen we IT’ers tegen die geen enkele kennis en affiniteit hebben met wat zij vaak juridisch geneuzel noemen. Maar er zijn ook nogal wat juristen die niet veel kaas hebben gegeten van IT. De FG, maar eigenlijk steeds meer functies, moeten van beide markten thuis zijn. Het maakt dus niet uit waar we vandaan komen als we de brug maar weten te slaan. Daarom heb ik met mijn IT-achtergrond wel altijd het idee gehad om ooit nog eens een Master of Law te doen om het qua studie in balans te brengen en het ideale profiel te creëren. Het is daarom dat ik deze zomer gestart ben met de Advanced Master in Privacy, Cybersecurity and Data Management aan de Universiteit van Maastricht. Dus als ik dit dan straks van mijn bucklist kan afvinken, kan ik zeggen dat ik een IT’er én een jurist ben.
   
   
3. Hoe heb jij NGFG leren kennen?
   Medio 2013 moet dat zijn geweest, redelijk snel nadat ik als FG voor enkele IT-bedrijven aan de slag ging. Primair leek het een goede manier om geïnformeerd te worden en te blijven op een toen nieuw terrein voor me. Het werd door de Autoriteit Persoonsgegevens (AP) ook geopperd tijdens de formele registratie. Althans, toen noemden we de AP nog het College bescherming persoonsgegevens (CBP). Daarnaast zag ik het als een manier om mijn privacynetwerk op te bouwen.
   
   
4. Wat waren jouw verwachtingen ten aanzien van een NGFG lidmaatschap?
   Kennisdeling en netwerken. Ik zag ook een mooi communicatiekanaal en samenwerking voor ogen met het toen malige CBP, waarbinnen wij als FG als hoeksteen werden gepositioneerd.
   
   
5. Is er in de loop van de tijd iets veranderd aan jouw verwachtingen en zo ja, hoe komt dat?
   Jazeker. Wat ik vooral merkte is dat ik, buiten het NGFG om, veel en snel kennis en ervaring opdeed door scholing, de uitoefening van mijn FG-werk en tevens daarin mijn eigen netwerk uitbreidde. Verder had/heb ik mijn verwachting ten aanzien van de realisatie van een vruchtbare samenwerking tussen het NGFG en het CBP / de AP aangepast. Waarbij overigens wel opgemerkt moet worden dat ik later als individuele FG de relatie en communicatie met de AP wel degelijk heb zien verbeteren.
   
   
6. Zijn er misschien al kennisgroepen of programma’s waarvoor jij je hebt aangemeld / gaat aanmelden of die je wellicht zou willen opstarten?
   Op het moment niet, maar wat me te binnen schiet is dat ik onderdeel uitgemaakt heb van een werkgroep die feedback leverde op de concept meldplicht van het CBP. Destijds was die er nog niet in de Wbp, maar was die behoefte er wel. Met name als voorloper op de AVG waar deze ook in zou komen. Daar had ik even het gevoel een nuttige bijdrage te leveren aan a.s. wetgeving. Waar ik toen vooral voor opkwam, weet ik nog goed. Dat was de termijn van de melding die in concept op 2 dagen stond. Los van de daadwerkelijk duur, pleitte ik er vooral voor om deze termijn gelijk te trekken met de termijn zoals die er in de AVG uit zou komen te zien, te weten 72 uur. Daarmee konden organisaties zich in mijn optiek beter voorbereiden. Of ik me in de toekomst aan zal melden voor kennisgroepen of programma’s zal ik moeten bekijken. De factor tijd en of ik daarin vooral iets breng of haal zal ook een rol spelen.
   
   
7. Volgens jouw LinkedIn profiel ben jij geen FG. Welke rol vervul jij wel en waarom is een goede band met het NGFG daarvoor van belang?
   Ja, dat klopt. Na een reeks van FG-schapppen ben ik bij een certificerende instantie gaan werken als lead auditor, te weten TÜV NORD Nederland wel te verstaan. Daarbij richt ik me in Nederland op informatiebeveiliging en privacy. Daarnaast run ik als awareness trainer ook een Privacy Escape Room. Voor onze moederorganisatie ben ik Testing, Inspection & Certifcation (TIC) Manager Privacy en in die rol richt ik me volledig op privacydiensten wereldwijd. Leuk om te weten is dat ik als Ethics Expert ook een bijdrage lever aan de Europese Commissie. Met andere woorden focus ik me vanuit een dataperspectief op beveiliging, privacy en ethiek. Dat zijn aspecten die een FG niet onbekend in de oren klinken, vermoed ik zo.
   
   
8. Je hebt veel ervaring met certificeringen zoals ISO. Wat zie jij voor link tussen certificering en FG-schap?Belangrijke verschuiving in wet- en regelgeving is dat steeds meer verantwoordelijkheid bij bestuurders komt te liggen en dat er eisen worden gesteld aan transparantie en aantoonbare naleving in de informatieverwerkingsketen. Waarbij opgemerkt moet worden dat het hier niet alleen over de AVG gaat en dat er een stapel wet-/regelgeving klaarligt die de bestuurstafel op gaat kruipen met deze tendens. Menig FG zal de vraag herkennen of zijn gesteld hoe die privacyverplichtingen dan allemaal kunnen worden aangetoond. En dat is waar standaarden een steeds grotere rol spelen. Evenals de onafhankelijke validatie en certificeringen hierop. ISO 27701 is zo’n certificeerbare standaard voor privacymanagementsystemen waarin organisaties (in hun rol van verantwoordelijke en/of verwerker) aantoonbaar kunnen maken hoe zij er invulling aan geven. ISO 27701 is een structurele aanpak waaraan de FG niet alleen een bijdrage levert (als onafhankelijke expert) maar hem ook prima handvatten biedt voor zijn eigen toezicht, rapportage en overige wettelijke taken. Ik wou dat die standaard er was toen ik FG was. Dan had ik die zeker gepromoot. Ik zie dat ook in de leveranciersselectie en -beoordeling standaarden als ISO 27001 (informatiebeveiliging) en ISO 27701 (privacy) een steeds grotere rol gaan spelen, waaronder in die van Microsoft. En uiteraard wordt er specifiek op het gebied van privacy aardig aan de weg getimmerd met nieuwe/aanvullende standaarden en certificatiemechanismen.
   
   
9. Is een NGFG-lidmaatschap eigenlijk wel van toepassing voor jou of zouden we eigenlijk als NGFG eens na moeten denken over bijvoorbeeld een partner- of sponsorship?
   Dat is inderdaad het overwegen waard. Hoe dit er dan precies uit komt te zien en of dit op persoonlijke titel is of een samenwerkingsverband wordt met mijn werkgever, zullen we nog dan moeten uittekenen. Let’s talk.
   
   
10. Wat wil je verder nog met ons delen?
    Een beweging waar ik heel enthousiast van word is CYRA, waar ik één van de grondleggers van ben. Wat ik merkte is dat er een substantieel aantal organisaties is waarvoor ISO-standaarden en certificeringen simpelweg een brug te ver is. Te omvangrijk en ook niet altijd nodig. Hierdoor ontstaat er een woud aan eisenlijstjes, raamwerken en goede bedoelingen. Sommige organisaties komen helemaal niet meer in beweging. Kunnen we hen niet een raamwerk bieden dat behapbaar is en ze perspectief biedt? CYRA beoogt precies dat. Een raamwerk, gebaseerd op bestaande standaarden (ISO 27001/27701) waarin organisaties kunnen werken aan informatiebeveiliging en privacy in 4 hapklare brokken. Uitvoerbaar in 3 volwassenheidsniveaus. Passend bij de cultuur en ambities van de organisatie en de eisen van hun opdrachtgevers. Op basis van zelfbeoordelingen weten ze waar ze staan en optionele externe validatie en certificering kan op ieder niveau plaatsvinden. Mochten ze ooit de stap willen maken naar de officiële en volledige ISO-certificeringen dan is die stap zo gemaakt omdat het niet een nieuwe standaard is maar bestaande ISO in een andere vorm. Hoe meer bedrijven hieraan meedoen, des te veiliger de keten wordt en des te meer persoonsgegevens beschermd worden.

Meer informatie of kennismaken met Nico Nijenhuis

Wil jij meer weten over de onderwerpen die Nico in dit artikel belicht? Of wil je graag persoonlijk kennismaken met Nico? Zoek hem dan even op in de sectie leden zoeken leden of contacteer Nico via LinkedIn.