In deze aflevering van NGFG-leden door de jaren heen voelen we een sleutelfiguur binnen ons vakgebied aan de tand: Gosse Bijlenga, algemeen bestuurslid en tevens penningmeester van het NGFG. Als partner en allround adviseur bij L2P, heeft hij een schat aan ervaring opgedaan in diverse sectoren, van openbaar bestuur tot het bedrijfsleven. Met zijn expertise in de Algemene Verordening Gegevensbescherming (AVG) en zijn betrokkenheid bij uiteenlopende projecten, zoals het opstellen van Data Protection Impact Assessments (DPIA) en het uitvoeren van audits bij grote ICT-organisaties, biedt hij ons waardevolle inzichten.
In dit interview deelt Gosse zijn persoonlijke reis, de uitdagingen en kansen binnen gegevensbescherming en zijn visie op de toekomst van ons vakgebied. Of je nu een potentiëel nieuw NGFG- lid bent of al jarenlang deel uitmaakt van ons genootschap, dit gesprek belooft inspirerend en informatief te zijn. Lees verder en ontdek hoe onze collega’s het verschil maken in een voortdurend evoluerend landschap van privacy en gegevensbescherming.
In 2017 ben ik afgestudeerd (rechten) aan de Rijksuniversiteit Groningen. Ik was rustig opzoek naar een baan en voor ik het wist werd ik via LinkedIn benaderd door een bedrijf gespecialiseerd in assurance audits of ik interesse had in een baan. Voor ik het wist waren de handtekeningen gezet en was ik werkzaam als consultant en auditor. Al snel kwam ik er achter dat dit de perfecte baan voor mij was. Het is ontzettend leuk om andere bedrijven en organisatie vanuit binnen te bekijken, je leert er enorm veel van. En veelal kan je gelukkig de boodschap verkondigen dat de AVG echt niet zo ingewikkeld is.
Veruit de meeste organisaties hebben één FG aangesteld. Een interne sparringpartner ontbreekt dan veelal. Het belangrijkste van het NGFG is dat we er voor FG’s zijn, samen sta je immers veel sterker. We hebben de afgelopen jaren gezien dat de rol van FG belangrijk is binnen organisaties. Het NGFG moet er voor zorgen dat onze leden deze belangrijke taak goed kunnen uitvoeren.
Een typische werkdag? Ik zou eigenlijk niet weten wat een typische werkdag is. Feitelijk is elke dag weer anders. Als externe consultant ben ik van verschillende organisaties de FG, ook help ik organisaties op ad-hoc basis met een lastige verwerkersovereenkomst of het uitvoeren van een DPIA. In een gemiddelde week werk ik enkele dagen vanuit huis of ik zit bij verschillende klanten door Nederland heen.
Momenteel ben ik bezig met een DPIA rondom de digitale gehandicaptenparkeerkaart (GPK) (https://parkerenplus.nl/). Feitelijk is de gehele keten van parkeren de afgelopen jaren gedigitaliseerd. Via verschillende commerciële apps kan je een parkeeractie starten en gemeenten controleren op basis op kenteken of iemand een parkeerrecht heeft. Wat nog ontbrak is de GPK in het landelijk register voor parkeren (https://www.nationaalparkeerregister.nl). Dit had tot gevolg dat houders van een GPK in sommige gemeenten onterecht een naheffing kregen.
De organisatie achter het digitale GPK en het landelijk register (SHPV, een corporatie van gemeenten) heeft aan mij gevraagd om een DPIA uit te voeren.
Het bijzondere van deze DPIA is dat SHPV optreedt als verwerker en de 342 gemeenten in Nederland verwerkingsverantwoordelijke zijn. Dit maakt dat de DPIA echt goed in elkaar moet zitten omdat je niet in een discussie wil belanden met alle privacy professionals binnen de gemeenten. Ook wil je hun het werk uit handen nemen door alle mogelijke vragen al te beantwoorden in de DPIA.
Doordat we op tijd zijn begonnen met de DPIA zie je ook de DPIA groeien met het project mee. Een DPIA is geen statisch document, die moet je gedurende het proces aanpassen aan de ontwikkelingen van het project.
Ik moet natuurlijk AI noemen, maar dat weten we allemaal al (toch?). Wat ik voornamelijk zie is dat we steeds dieper in de organisaties terecht komen. In 2018 zijn de meeste organisaties begonnen met het in kaart brengen van de verwerkingen van persoonsgegevens. Dit waren feitelijk de hoofdprocessen. Nu merk ik steeds meer dat we diep in de techniek duiken omdat daar ook persoonsgegevens worden verwerkt. Dat maakt het complex, moet je als FG dan ook verstand hebben van de techniek? Ik zeg altijd: weet als FG wat je niet weet. Het schaap met de vijf poten bestaat niet, betrek experts bij vraagstukken waar je zelf te weinig kennis van hebt.
Het moeilijkste is volgens mij om daadwerkelijk de rol te pakken die de FG wettelijk heeft. Vaak wordt je nog gezien als dé AVG-specialist, en hoewel we dat als FG ook zijn, hebben we toch feitelijk een iets andere rol: we zijn toezichthouder. Dus als FG moet je de organisatie duidelijk maken wat de taken, bevoegdheden en verantwoordelijkheden van de FG zijn. En vooral bij kleinere organisaties is dat niet altijd even makkelijk.
Uiteraard door lid te zijn van het NGFG! Als beroepsvereniging is het natuurlijk belangrijk dat we de leden informeren over alle ontwikkelingen op het gebied van gegevensbescherming. Daarnaast is LinkedIn een mooie bron om de ontwikkelingen te volgen. Op persoonlijk vlak ben ik dit jaar bezig met de Grotius opleiding privacyrecht.
Een register voor FG’s stond al lange tijd op de agenda van het NGFG. En onder leiding van het Ministerie van J&V gaat het register er nu echt komen. Als NGFG zijn we nauw betrokken bij het opzetten van het register en ik ben erg benieuwd naar de uitkomst.
Op persoonlijk vlak wil ik mij blijven ontwikkelen. Er is nog zoveel te leren over gegevensbescherming. Deze kennis wil ik gebruiken om zowel onze doelgroep binnen het NGFG te ondersteunen als de klanten van L2P. Ik stel wel eens de vraag aan mensen die ik spreek: hoever zijn we met de digitalisering? Staan we aan het begin, zijn we halverwege of is de digitalisering al voltooid? Het antwoord is veelal dat we bijna nog aan het begin staan, de maatschappij verandert in een hoog tempo en wij als hoeders van het grondrecht op privacy moeten er voor zorgen dat deze veranderingen geen afbreuk doen aan dit grondrecht.
Ik zie in de praktijk dat we al heel snel roepen dat we voor een nieuwe of gewijzigde verwerking een DPIA moeten uitvoeren. Als ik de DPIA vervolgens lees en als FG advies moet geven dat komen de risico’s voor de betrokkenen helemaal niet naar voren, laat staan eventuele mitigerende maatregelen om deze risico’s te verlagen naar een acceptabel niveau.
Een DPIA wordt mijns inziens veelal gebruikt als compliance check, een toetsing of de eigen organisatie een risico op non-compliance loopt. Uiteraard is dat goed, immers als je kijkt of je een overtreding van artikel 5 begaat dan neem je automatisch de belangen van de betrokkenen mee. Maar dan heeft het mijn voorkeur om dat anders te noemen zodat we in een echte DPIA de betrokkene centraal zetten en niet de organisatie.