In de rubriek NGFG leden door de jaren blikken we regelmatig met zowel huidige, als oud-leden terug op herinneringen, inzichten en ervaringen als (lid van het NG) FG. Ook werpen we een blik op de verwachtingen t.a.v. de toekomst. De volgende in deze reeks is Sander van de Molen, Functionaris Gegevensbescherming en Privacy Professional bij Privacy Team. We stelden hem de volgende vragen.

Wie ben je en wat doe je? En: Wat is de drijfveer geweest om je te specialiseren richting het domein van bescherming van persoonsgegevens?

• Ik ben Sander van de Molen en noem me privacy professional. Ik ben actief vanuit PrivacyTeam, een bedrijf dat klanten helpt om op een eenvoudige manier aantoonbaar te voldoen aan de AVG verplichtingen. Wij ondersteunen organisaties op het gebied van de AVG en leveren FG-diensten, consulting en slimme producten zoals EasyPrivacy® en EasyDPIA®.
  
  Zelf ben ik FG voor meerdere organisaties, waaronder ook onderwijsinstellingen. Samen met Francis Joung heb ik het Handboek DPIA’s geschreven dat sinds november 2020 door Berghauser Pont wordt uitgegeven. Daarbij hebben wij eigen (Pre-)DPIA modellen ontwikkeld. Wij geven daar ook trainingen in. EasyDPIA® sluit daar als geautomatiseerd systeem mooi op aan. Wij proberen organisaties te helpen DPIA’s uit te voeren op basis van generieke DPIA’s die specifiek kunnen worden gemaakt. Zo ontstaat een efficiënt DPIA-proces, waarbij er niet wordt ingeleverd op kwaliteit en de essentie van een DPIA. Hierin zie je goed mijn passie terugkomen.
  
  Privacy en informatiebeveiliging loopt eigenlijk als een rode draad door mijn loopbaan. Ik ben ooit begonnen als (enige) bedrijfsjurist bij de Detam. Daar heb ik meegewerkt aan het bouwen van een Detam Data Bank. Dat was in een tijd (1994) dat bedrijven nog met eigen mainframes werkten, zoals van IBM en Bull. Ik heb toen al snel de samenwerking gezocht met Jan Holvast (overleden 13 maart 2023).
  
  Daarna mocht ik de privacy huishouding inrichten bij een grote landelijke arbodienst. Periode (1995). Ik werd door de directie gebeld dat er een lastige journalist was die bij alle grote arbodiensten checkte of zij voldeden aan de privacywetgeving. Dat deed die arbodienst in het geheel niet; er was geen begin van een beleid. Dat was overigens bij alle arbodiensten het geval. De vraag van de directie was of ik in een paar dagen even de bedrijfsvoering privacy-compliant kon maken, die dan vervolgens met terugwerkende kracht kon worden vastgesteld (!). Die opdracht heb ik uiteraard niet geaccepteerd, maar wel de directie geadviseerd open te zijn richting de journalist en met een goed plan van aanpak te laten zien dat zij op korte termijn privacy-compliant zouden zijn. Het artikel dat verscheen in het Parool was voor de directie gunstig. Zij waren de enige arbodienst die er positief uitsprong omdat zij privacy en informatiebeveiliging serieus namen.
  
  Nadien heb ik bij Interpolis en Achmea, laatst in de functie van manager Compliance & Integrity het nodige gedaan om een compleet nieuw beleid neer te zetten in samenwerking met een aantal topspecialisten, waaronder Jan Holvast. Mijn toenmalige collega’s Jan Pino en Francis Joung hebben daar ook aan bijgedragen.
  
  Deze werkzaamheden vond ik erg interessant en ik merkte dat privacy de gehele bedrijfsvoering raakt en in het hart van de organisatie moet zitten om je in positieve zin te onderscheiden. Met een goed privacybeleid en uitvoering daarvan kun je als organisatie echt een verschil maken. Dat is een voor mij een belangrijke drijfveer geweest om een switch te maken van een ‘corporate omgeving’ naar een bestaan met een eigen bedrijf.

In welke sector / sectoren ben jij actief?

• Ik ben actief in de onderwijssector (PO-VO), zorg, arbodiensten, zakelijke dienstverlening, waaronder verzekeraars en overheden: gemeenten en provincies.

Tegen welke FG-vraagstukken loop jij, lopen jouw collega’s / klanten veelal aan?

• De FG is een onafhankelijk functionaris, die moet bewaken dat de organisatie voldoet aan de privacy wet- en regelgeving. Vanuit de Autoriteit Persoonsgegevens wordt sinds begin dit jaar benadrukt dat de FG als het ware een verlengstuk is van de toezichthouder. Daarbij moet sprake zijn van functiescheiding tussen de Privacy Officer die operationeel de organisatie ondersteunt, en de FG die zich concentreert op het toezicht en vanuit daaruit adviseert.
  
  In veel kleinere organisaties is dit lastig om te organiseren. De theorie van de drie inrichtingslinies is vaak onbekend en de privacyfunctie is dan de eerste die dit moet communiceren en trachten te realiseren. Dat lijkt mij de uitdaging voor de veel FG’s. Binnen grote en professionele organisaties met veel staffuncties is dit al vaak volledig geïmplementeerd en is dit vanzelfsprekend. Ook daar zijn natuurlijk uitdagingen. De samenwerking met Compliance, Risk en andere GRC functies moeten goed op elkaar ingeregeld worden en deze disciplines moeten bovendien goed met elkaar samenwerken ten einde de organisatie goed te faciliteren. Daarbij is het nog de vraag in welke inrichtingslinie de FG zit. Dit gaat steeds meer de derde lijn in, zoals de interne auditfunctie.
  
  Tot slot zie ik de vele ontwikkelingen op het gebied van privacy als een uitdaging. Kan een FG alle ontwikkelingen nog wel bijhouden als het gaat om Artificial Intelligence en algoritmen. Hoe pas je die toe in de beoordeling van gegevensverwerkingen, welke zaken laat je in of buiten scope in een DPIA. Ik zie hier wel diverse specialismen ontstaan.

Hoe heb jij het NGFG leren kennen?

• Vanuit mijn netwerk. Ik ben lid sinds augustus 2018. Ik was al lid van de Vereniging van Compliance Officers, waar ik (actief) was voor de Privacy Tafel. Omdat ik ook actief werd als FG vond ik dat ik lid moest worden van de beroepsvereniging voor FG’s.

Wat waren jouw verwachtingen ten aanzien van een NGFG lidmaatschap?

• Een genootschap van professionals waarin je kennis kunt opdoen. Netwerken en elkaar op regelmatige basis ontmoeten. Ik had verwacht toegang te krijgen tot veel richtlijnen en vakinhoudelijke informatie. In eerste instantie heb ik dit niet zozeer aangetroffen, maar wel een goed netwerk en bijeenkomsten, waarbij je andere FG’s leert kennen. Dat is natuurlijk uitermate nuttig.

Is er in de loop van de tijd iets veranderd aan jouw verwachtingen en zo ja, hoe komt dat?

• Nou, eigenlijk niet. Ik ben best tevreden. De contacten met het nieuwe bestuur zijn top en ook met de projectorganisatie. Heerlijk om mee samen te werken vanuit de commissie waar ik deel van uit maak.

Zijn er misschien commissies of andere NGFG geledingen waarin jij actief bent?

• Zeker, ik ben lid van de agendacommissie van de NGFG Commissie Onderwijs. Deze commissie is al een flink aantal jaren zeer actief. Ik ben sinds twee jaar onderdeel van de agendacommissie onderwijs. We proberen twee fysieke bijeenkomsten per jaar te organiseren waarbij we interessante onderwerpen agenderen, en gezaghebbende sprekers uitnodigen deze onderwerpen toe te lichten. Kennisoverdracht en het delen van theoretische, maar vooral ook praktische ervaringen zijn hierbij belangrijk. Daarbij is het prachtig om te zien dat leden van de Commissie Onderwijs ook actief met elkaar en de sprekers in debat gaan. Daarnaast hebben we twee onlinebijeenkomsten, waarbij we meer vakinhoudelijke onderwerpen agenderen. In de komende periode probeert de Commissie Onderwijs ook intervisie te faciliteren tussen de leden.
  
  In september 2023 hebben we een interessante bijeenkomst georganiseerd, waarbij het normenkader op het gebied van informatiebeveiliging dat voor de gehele sector geldt uitgebreid is behandeld en waarbij de verschillen in de diverse onderwijssectoren (Primair/Voortgezet Onderwijs, MBO, HBO/WO) aan de orde zijn gekomen. De onderwijssector zal zich de komende vier jaar in bijzondere mate moeten professionaliseren. Een normenkader op het gebied van informatiebeveiliging en straks ook privacy zal hierbij een faciliterende rol spelen, waarbij ook een eenduidige manier van werken en meten randvoorwaardelijk is voor succes. In bijvoorbeeld de financiële sector is dit al jaren gemeengoed. Voor andere sectoren, zoals het onderwijs, is het werken met normenkaders compleet nieuw.
  
  Ook is erg interessant dat we (ook in relatie met de PO-VO Raad, Kennisnet) op regelmatige basis spreken met de Autoriteit Persoonsgegevens over (sectorale) ontwikkelingen. 
  
  Sinds kort ben ik ook lid van de Arbo Commissie. Alleen vergaderen zij altijd als ik in Griekenland ben. 😊 Ik heb daar dus nog niet veel over te vertellen.

Wat draag jij bij aan deze commissies en wat haal jij uit deze commissies?

• Ik zit in de Agenda Commissie Onderwijs, samen met een aantal fijne collega’s: Niels Joosten, Lars Zegers, Jan Faasse, Barbara Gerretsen en Ralph Kronieger. We hebben een mooi en ambitieus team en de samenwerking is top. Leuk is ook om te zien dat nieuwe leden mogen ontvangen. 
  
  Ik draag bij door een actieve rol te vervullen en samen met de collega’s interessante bijeenkomsten te organiseren die er toe doen. De laatste vergadering hebben we uitgebreid gesproken over het sectorbeeld van de Autoriteit Persoonsgegevens 2021-23 en de uitkomsten hebben we ook weer gedeeld met de Autoriteit Persoonsgegevens. Zo draagt het werk ook echt bij aan beeldvorming en vooruitgang.

Wat voor soort FG ben jij? Hoe stel jij je op binnen jouw organisatie en loop je daar tegen specifieke situaties of vragen aan?

• Ik ben zowel toezichthouder, als ook adviseur. Streng waar het moet en meegaand als het kan. Voor al mijn klanten sta ik 24/7 aan. Gelukkig werk ik samen met veel plezierige en vooral professionele collega’s; zowel binnen PrivacyTeam als bij mijn klanten.

Heb jij je opgegeven voor het Mentor & Intervisie programma? En zo ja / zo nee, waarom wel / niet?

• Nee, nog niet. Eerlijk gezegd ontbreekt het mij op dit moment aan tijd. Ik geef al best veel tijd aan hetNGFG. Vanuit mijn vroegere rol als manager Compliance & Integrity weet ik dat intervisie en (elkaar) coachen zeer belangrijk is. Kennis is belangrijk, maar vaardigheden en competenties maken echt een verschil! In feite pas ik dat ook dagelijks toe in de interactie met collega’s en klanten.

Wat mis jij (nog) als lid van het NGFG? En wat vind je juist erg goed gaan?

• De bijeenkomsten zijn goed en verzorgd. De nieuwsberichten zijn informatief en het bestuur is vooruitstrevend. Ik ben eigenlijk best tevreden met de gang van zaken.

Wat zijn naar jouw idee échte hete hangijzers ten aanzien van wereldwijde ontwikkelingen en de rol van de FG hierin?

• Er is steeds meer mogelijk met persoonsgegevens, zoals A.I., B.I. en data-analyse. De verleiding is groot om dit als organisatie te gaan toepassen zonder al te goed na te denken. Als FG en toezichthouder heb je hier een serieuze rol om te staan voor de belangen en rechten en vrijheden van betrokkenen. Hierin moet je echt actief zijn en organisaties een spiegel voorhouden. Overigens speelt het stelselmatig uitvoeren van (Pre-)DPIA’s hierin een belangrijke rol. In Europa zijn we een beetje het ‘geweten van de wereld’ met onze AVG regelgeving. Echt prachtig om hiermee te mogen werken.

Als jij een kennisevent zou mogen verzorgen, waarover zou dat dan gaan en wie zou je uitnodigen?

• Ik zou zeggen dat het eerst komende event eind mei van de Commissie Onderwijs een topproductie wordt. We zijn te gast bij OCW en we hebben twee prachtige en actuele onderwerpen: A.I. binnen het onderwijs en wetenschappelijk onderzoek. Helaas is het al volle bak. Wij hebben twee toonaangevende sprekers: Marlon Domingus en Barbara Gerretsen.

Wil je nog iets delen waarbij je het niet eens bent met veel andere FG’s, de AP of anderen?

• Er is niets dat hiervoor bij mij top of mind is. Ik zou juist willen aangeven dat ik waardering heb voor de Autoriteit Persoonsgegevens. Je zult het maar moeten doen met hun budget in relatie tot het enorme terrein waarop zij moeten toezien. Zie maar de laatste rapportage datalekken. Respect voor de wijze waarop ze hun mensje staan.
  
  En: ik hou altijd iedereen voor als men DPIA’s maakt: maak het vooral leesbaar voor stakeholders, zoals ook de Autoriteit Persoonsgegevens. Een DPIA is vanuit de AVG gezien een verantwoordingsinstrument. Leg hierin uit wat je doet, met welk doel en welke rechtsgrond. Welke persoonsgegevens zijn noodzakelijk en ga in op de evenredigheid van de verwerking van persoonsgegevens in relatie tot het doel. Voer een risicoassessment uit op de risico’s in relatie tot de rechten en vrijheden van betrokkenen en formuleer de passende maatregelen. Ik kan genieten van de DPIA trainingen die ik samen met Francis geef. Je komt zoveel betrokken professionals tegen die allemaal hard werken aan het meer privacy compliant maken van onze maatschappij.

Meer weten over Sander van de Molen? 

Stuur dan hem dan een bericht via NGFG - Leden zoeken leden of neem contact met hem op via zijn LinkedIn.