Waarom de NTR dataprotectie als maatschappelijke verantwoordelijkheid ziet
Een publieke omroep zoals de NTR heeft een bijzondere verantwoordelijkheid voor dataprotectie, zegt privacy officer Dhiren Gangaram Panday. “We kunnen nooit rustig achterover leunen.”
In dezelfde maand dat hij de vierdaagse praktijkcursus FG in de publieke sectorafrondde, werd Dhiren Gangaram Panday Functionaris voor de Gegevensbescherming (FG) bij de NTR. Als bedrijfsjurist bij de publieke omroep was hij al een aantal jaren met dataprotectie bezig.
“Toen in 2016 de meldplicht datalekken werd ingesteld , zijn we gestart met de aanscherping van ons privacybeleid. Enige tijd later werd duidelijk dat de FG-verplichting uit de AVG ook voor de publieke omroepen zou gelden. Vanaf dat moment heb ik extra in opleidingen geïnvesteerd. Een FG heeft nu eenmaal veel kennis en expertise nodig. De AVG eist ook dat de FG de vakkennis op peil houdt en goed op de hoogte is van een breed scala aan onderwerpen rond dataprotectie.”
Panday volgde onder meer de cursus AVG Compliance en het seminar De juridische implicaties van blockchain. “De AVG is naar mijn idee niet een hele grote verandering ten opzichte van de Wet bescherming persoonsgegevens en de meldplicht datalekken. Ons privacybeleid was ook op hoofdlijnen al AVG-proof, er verandert vooral veel op detailniveau. Maar de technologische ontwikkelingen gaan razendsnel. We werken nu bijvoorbeeld veel meer in de cloud in plaats van lokaal op de server. Deze ontwikkelingen kunnen ook gevolgen hebben voor privacy en dataprotectie Wat mij betreft kan je dan ook nooit genoeg aan bijscholing doen.”
Alledaagse praktijk
“Als jurist kan ik de wetgeving en de theorie over dataprotectie prima volgen. Maar een cursus zoals FG in de publieke sector is fijn vanwege de praktische tips en tools die je krijgt en direct in de praktijk kunt toepassen. De AVG staat op papier, maar er moet nog veel uitgevogeld worden over praktische implicaties. Het is waardevol als je een brug leert slaan van de algemene regels naar de alledaagse praktijk.” Panday kreeg onder andere een aantal checklists mee naar huis, die hij gebruikt als basis voor eigen tools. “Ik heb bijvoorbeeld een korte vragenlijst ontwikkeld met twintig checkvragen, als een heel eenvoudige variant voor een uitgebreide data protection impact assessments (DPIA’s). Mensen op werkvloer kunnen zich natuurlijk niet in alle details verdiepen. Met de korte vragenlijst kan ik de noodzakelijke basisinformatie toch alvast sneller op een rij krijgen.”
Een FG heeft niet alleen theoretische en praktische kennis nodig, de functie vraagt ook om specifieke vaardigheden. Panday: “Je kunt de inhoud van de AVG kennen, maar als FG moet je ook leren om effectief te opereren binnen je organisatie. Je moet toezicht houden en voorlichting geven. Waar moet je dan op letten? Welke afspraken kan je maken – en hoe kan je zorgen dat die worden uitgevoerd? Hoe kan je structureel werken aan het privacybewustzijn op de werkvloer?”
Krokettenprotocol
Het is soms best lastig om een taai onderwerp als de AVG bij collega’s tussen oren te krijgen, merkt Panday. “Mensen kunnen het gevoel krijgen dat ze zich met allerlei extra regels moeten gaan bezighouden. Daarom maak ik het zo makkelijk en praktisch mogelijk. Ik geef onder meer presentaties voor de redacties en de leidinggevenden waarin ik de basisbeginselen uitleg en heel praktisch aangeef wat er moet gebeuren bij bijvoorbeeld een vermoeden van een datalek. Er komen ook securitytips aan bod, want IT-beveiliging is onlosmakelijk met dataprotectie verbonden.”
De aanpak van Panday heeft succes: de awareness over dataprotectie en security is hoog, en het thema wordt op verschillende niveaus in de organisatie serieus genomen. “Ik probeer zo veel mogelijk humor in te brengen als het over privacy gaat. Anders word je oersaai. Bovendien blijven de regels dan beter hangen.” Zo voerde Panday het krokettenprotocol in. Als Panday merkt dat een collega die even van zijn of haar bureau weg is, de PC niet heeft vergrendeld, stuurt hij vanaf dat e-mailaccount een bericht aan alle collega’s van die afdeling. Met de boodschap: ik neem morgen kroketten mee. Vervolgens vergrendelt hij natuurlijk de pc van de collega.
Maatschappelijke verantwoordelijkheid
“Het belangrijkste is wat mij betreft het besef dat we er nooit zijn met compliance, maar we er wel continu aan moeten werken”, zegt Panday over de inzichten die hem uit zijn opleidingen zijn bijgebleven. “Niemand is ooit volledig AVG-compliant. We kunnen ernaar streven om alles honderd procent dicht te timmeren, maar dat is praktisch onmogelijk. Natuurlijk doen we ons best. We hebben onze datastromen uitgebreid geïnventariseerd en verwerkersovereenkomsten opgesteld. Alles wat we doen, doen we zo veel mogelijk AVG-proof. Maar we kunnen nooit rustig achterover leunen.”
Als publieke omroep met wettelijke taken op het gebied van informatie, educatie, cultuur, jeugd en diversiteit heeft de NTR volgens Panday een bijzondere verantwoordelijkheid voor dataprotectie. “We doen dataprotectie niet alleen omdat het moet van de wet, maar ook omdat het belangrijk is voor onze kijkers en luisteraars. We maken bijvoorbeeld veel jeugdprogramma’s en dan worden soms ook gegevens van kinderen verwerkt. Daar willen wij heel zorgvuldig mee omgaan. Vooral nu het onderwerp privacy zo leeft in de samenleving – en de AVG zich nog in zo’n prille fase bevindt – doen we er alles aan om het vertrouwen van onze kijkers en luisteraars in de verantwoorde en veilige omgang met hun gegevens waar te maken.”
Bron: IIR
