NIEUWSARTIKEL

In het digitale tijdperk waarin gegevens de ruggengraat vormen van organisaties, speelt de rol van de functionaris gegevensbescherming (FG) een cruciale rol. Als professionals staan wij aan het front van de bescherming van persoonlijke gegevens en zorgen wij ervoor dat organisaties voldoen aan de strenge eisen van de Algemene Verordening Gegevensbescherming (AVG). In dit interview spreken we met Erwin Daverveld, een ervaren FG, over zijn inzichten, de uitdagingen van het vak en zijn visie op de toekomst van gegevensbescherming.

Introductie en Achtergrond

Kun je iets vertellen over jouw achtergrond en wat jou heeft gemotiveerd om functionaris gegevensbescherming te worden?
Je zult het niet geloven, maar ik ben mijn werk carrière begonnen als verpleegkundige. Van de wijk, tot het verpleeghuis en uiteindelijk het ziekenhuis. Toen was mijn interesse al gewekt voor privacy & informatiebeveiliging. We werkten toen nog niet digitaal maar met fysieke dossiers. Ik had toen al oog voor privacy, denk aan het voeren van privacygevoelige gesprekken met patiënten en ervoor zorgen dat dossiers achter slot en grendel stonden als er niemand toezicht op had.

Een tijd later ben ik gaan werken als arboverpleegkundige en begonnen we meer digitaal te werken en werd data en het verwerken van persoonsgegevens steeds belangrijker. Tijdens de avonduren ben ik Nederlands Recht gaan studeren. Nog steeds had ik niet door dat mijn verdere toekomst zou liggen in privacy & informatiebeveiliging, omdat ik afstudeerde als strafrechtjurist (wel met een mastervak in Human Rights!). Na de studie Nederlands Recht heb ik nog een tijd op Curaçao gewerkt bij een verzekeringsmaatschappij als Legal Counsel.

Tijdens mijn werk als bedrijfsjurist bij een middelgroot accountantskantoor kwam de dag dat de AVG in werking trad. Dat was voor mij het moment om me volledig te focussen op privacy & informatiebeveiliging. Naast het opzetten van een juridisch adviesbureau heb ik een opleiding bij Outvie (CDPO) gevolgd. In mijn werk daarna heb ik als Functionaris Gegevensbescherming vele bedrijven/organisaties (zo goed als mogelijk) AVG-proof kunnen maken.

Uiteindelijk ben ik toch weer teruggegaan naar de zorg. Als bedrijfsjurist/Functionaris Gegevensbescherming heb ik veel gedaan om bij twee STZ-ziekenhuizen privacy & informatiebeveiliging op de kaart te zetten en hoge prioriteit te geven.

Toen kwam de vacature voorbij van Functionaris Gegevensbescherming bij de Autoriteit Persoonsgegevens. Mijn eerste gedachte was, wie wil nu niet de Functionaris Gegevensbescherming bij de Autoriteit Persoonsgegevens zijn. Uiteindelijk ben ik dat geworden en doe dit sinds 1 juli 2022.

Als ik aan de AVG (privacy & informatiebeveiliging) denk, dan zie ik mogelijkheden en kansen. Als mensen zeggen "dat mag niet van de AVG", dan ben ik het daar vaak niet mee eens. Heel veel kan en mag volgens de AVG, als het maar binnen de kaders van de wet gebeurt. Ik ben een pragmatische jurist en er is vaak wel een oplossing te bedenken.  

Hoe ziet een typische werkdag eruit voor jou als functionaris gegevensbescherming bij de Autoriteit Persoonsgegevens?
Functionaris Gegevensbescherming bij de Autoriteit Persoonsgegevens, de privacy waakhond van Nederland is wel bijzonder.  In alle netwerken, bijeenkomsten en overleggen moet ik altijd aangeven dat ik net als alle andere Functionarissen Gegevensbescherming ook een Functionaris Gegevensbescherming ben.

Mijn werkdag ziet er hoogstwaarschijnlijk hetzelfde uit als die van jullie. Vooral adviezen geven, aanwezig zijn bij belangrijke overleggen, monitoringsonderzoeken uitvoeren en werken aan het verhogen van bewustzijn bij alle medewerkers (AVG-proof werken). Daarnaast gaan de ontwikkelingen snel en daarom ben ik ook vaak nieuwsbrieven, documenten vanuit de Rijksoverheid en SLM Rijk aan het lezen. Ook ben ik lid van het network DPO’s van de EDPB en probeer ik samen met alle DPO’s van de lidstaten een bijdrage te leveren door het verstrekken van adviezen. Op dit moment ben ik samen met Litouwen bezig met een project en heb ik onlangs de DPO van België gesproken en haar op weg geholpen met hoe wij zaken in Nederland oppakken.

Kun je enkele voorbeelden geven van de meest uitdagende projecten waaraan je hebt gewerkt? 
Het meest uitdagende project waaraan ik heb meegewerkt is het nieuwe zaaksysteem bij de Autoriteit Persoonsgegevens, waarbij het adviseren op de DPIA en DTIA veel tijd kostte.

Ook het opzetten van een Information Security Management System (ISMS) en Privacy Information Management System was een mooie uitdaging. Door een ISMS & PIMS kunnen we nog beter voldoen aan onze verantwoordingsplicht en het helpt ons om een aantal zaken geautomatiseerd te laten verlopen.

Rol van de Functionaris Gegevensbescherming

Wat zie jij als de belangrijkste verantwoordelijkheden van een functionaris gegevensbescherming binnen een organisatie?
Goed kunnen luisteren, pragmatisch zijn ingesteld, denken in mogelijkheden en kansen (oplossingen) en je advies goed over de bühne kunnen brengen zodat iedereen gemotiveerd is/blijft en vanuit een intrinsieke motivatie wil werken aan het beschermen van persoonsgegevens. Daarbij is het belangrijk dat je als FG onafhankelijk bent en (on)gevraagd je adviezen kunt geven.

Als Functionaris Gegevensbescherming geef je geen akkoord maar een gedegen, onderbouwd advies. Ik rapporteer aan het bestuur en informeer het directieberaad/medewerkers.

Verder vind ik het belangrijk om een organisatie te ondersteunen in het open en transparant zijn door betrokkenen op de juiste manier te informeren (informatieplicht) en de organisatie verder te helpen bij strategische ontwikkelingen. En niet te vergeten het verhogen van het bewustzijn betreffende privacy bij een ieder die bij de Autoriteit Persoonsgegevens werkt.

Uitdagingen in het Vakgebied

Wat zijn volgens jou de grootste uitdagingen waar functionarissen gegevensbescherming vandaag de dag mee te maken hebben?
De grootste uitdagen zijn volgens mij de ontwikkelingen die elkaar snel opvolgen en de groei in nieuwe/aangepaste wet- en regelgeving. Als Functionaris Gegevensbescherming moet je je daarop voorbereiden en zorgen dat je voldoende (vervolg)opleidingen volgt om je kennis op peil te houden. Daarnaast is een grote uitdaging om de positie van de Functionaris Gegevensbescherming te (blijven) versterken in de organisatie. Zelfs in het Regeerprogramma Uitwerking van het hoofdlijnenakkoord door het kabinet, 13 september 2024 wordt ernaar verwezen dat er verder wordt ingezet op het versterken van de positie van de Functionaris Gegevensbescherming[1]:

‘Burgers moeten erop kunnen vertrouwen dat op een juiste manier wordt omgegaan met hun persoonsgegevens en dat hun rechten worden beschermd en dat toezicht voldoende is geborgd. Naleving van de AVG door organisaties, burgers én met name de overheid is hierbij van fundamenteel belang. Er wordt daarom onder andere verder ingezet op het versterken van de positie van de Functionaris Gegevensbescherming, ontwikkeling van rijksbreed beleid over de richtlijnen voor online monitoring, het creëren van meer grip op internationale gegevensstromen en het zorgen voor passende, moderne wet- en regelgeving op dit gebied alsmede de strikte inzet van gezichtsherkenning en geautomatiseerde besluitvorming door de overheid heeft tot gevolg dat de rechtsstaat wordt versterkt en vertrouwen bij de burger deels kan worden hersteld. Ook in het Caribisch deel van het Koninkrijk blijft de inzet voor een geharmoniseerd niveau van gegevensbescherming van belang.’

Veranderingen in Wet- en Regelgeving

Hoe blijf jij op de hoogte van de steeds veranderende wet- en regelgeving op het gebied van gegevensbescherming en hoe pas jij deze kennis toe in jouw werk?
Om op de hoogte te blijven van steeds veranderde wet- en regelgeving heb ik abonnementen op verschillende nieuwsbrieven van verschillende organisatie (van advocatenkantoren tot aan professionele organisaties). Daarnaast heb ik ook een app van de Rijksoverheid: ‘Nieuwe Wetten’. Ook op de website van de Rijksoverheid en SLM Rijk is veel informatie te vinden.  

Verder kun je met verschillende opleidingen, cursussen, bijscholingen, etc. goed op de hoogte blijven van veranderde wet- en regelgeving.

Ik bespreek de veranderde wet- en regelgeving die van invloed zijn op de processen bij de Autoriteit Persoonsgegevens met de desbetreffende directeuren. Ik adviseer hoe bepaalde wet- en regelgeving geïntegreerd/aangepast dient te worden in deze processen. Mocht het wet- en regelgeving zijn wat de hele Autoriteit Persoonsgegevens betreft dan adviseer ik het bestuur en het directieberaad.

Ethiek en Gegevensbescherming

Welke ethische overwegingen spelen een rol in jouw dagelijkse werk als functionaris gegevensbescherming?
Naast het volgen van wet- en regelgeving (wat mag de Autoriteit Persoonsgegevens met de persoonsgegevens van betrokkenen doen?) vind ik het ook belangrijk om na te denken over wat we mogen met persoonsgegevens. Daarbij dienen we transparant te zijn en betrokkenen voldoende te informeren. Dat begint voor mij al bij het beantwoorden van vragen als: is het noodzakelijk dat we deze persoonsgegevens verwerken (noodzakelijkheidsbeginsel)? Hebben we een doel en is er een rechtsgrondslag aanwezig? Uit de antwoorden van deze vragen kun je al veel afleiden en je afvragen of we die persoonsgegevens wel moeten willen verwerken.

Als Functionaris Gegevensbescherming sta ik achter principes als non-discriminatie, persoonlijke autonomie en vrijheid. Daarom kan ik soms ver gaan in mijn advisering. Het is niet altijd nodig om alle persoonsgegevens te verwerken om een bepaald doel na te streven, al zou dat wel volgens wet- en regelgeving zijn toegestaan. Soms moet je verder kijken dan wat wet- en regelgeving aangeeft (out of the box denken).

Samenwerking met Andere Afdelingen

Hoe werk jij samen met andere afdelingen binnen jouw organisatie om te zorgen voor naleving van de AVG?
Bij de AP werk ik onder andere samen met de Chief Information Security Officer (CISO), Information Security Officer (ISO), Concern Privacy Officer en de verschillende Privacy Officers die werkzaam zijn bij de verschillende directies. Ik sluit aan bij verschillende overleggen en met verschillende activiteiten proberen we het bewustzijn bij medewerkers te verhogen. Daarbij maken we gebruik van een communicatieplan en contentplanning. Bijvoorbeeld de maand oktober staat (inter)nationaal bekend als cybersecurity maand en hier besteden wij ook aandacht aan. We hebben als team een leuke actie uitgezet namelijk een competitie tussen verschillende teams (afdelingen) met een escape box.

Lidmaatschap NGFG

Hoe draagt jouw NGFG-lidmaatschap bij aan jouw werk als FG?
Ik kan sparren met andere FG’s die ik ontmoet bij het NGFG. Daarnaast ondersteun ik Caroline Brons en Marjolein Hoff bij het opzetten van een NGFG-stamcafé. Zij zijn met het idee begonnen en ik heb me daarbij aangesloten. Daarnaast zoek ik op de website naar verschillende documenten en woon ik regelmatig bijeenkomsten van het NGFG bij om mijn netwerk uit te breiden.

TIP: NGFG stamcafé 2025! Op donderdag 30 januari 2025 wordt het eerste NGFG stamcafé gehouden. Bedoeld voor de leden van het NGFG om elkaar op een vaste locatie informeel te ontmoeten. Deze bijeenkomst is de aftrap van een try-out gedurende 2025 met Utrecht als vaste locatie waarbij we eens in de twee maanden samenkomen en iedere keer een interessant thema bedenken dat als kapstok dienst voor goede gesprekken. Aanmelden is noodzaak en doe je hier. 

Advies voor Aankomende Functionarissen

Welke adviezen zou je geven aan professionals die overwegen om een carrière te beginnen als functionaris gegevensbescherming?
Er is niets mooier dan Functionaris Gegevensbescherming te zijn en (on)gevraagd advies te mogen geven. Vooral goed kunnen luisteren en meedenken in oplossingen en kansen is belangrijk. Ondersteun die ander bij een vraag/probleem en geef niet alleen aan dat het niet mag van de AVG. Verder moet je standvastig blijven/op je strepen staan en je adviezen goed kunnen overbrengen aan bestuur, management en medewerkers.

Schrijf je daarnaast ook in op nieuwsbrieven (en dus vooral die van de Autoriteit Persoonsgegevens) en lees de rapporten van de Autoriteit Persoonsgegevens door (vooral die over toezicht op Algoritmes & AI [2]).

Het is belangrijk dat we elkaar weten te vinden. We ervaren dat het soms lastig en complex kan zijn om de juiste adviezen te geven en dat niet bij alle organisaties de FG de juiste positie heeft. De Autoriteit Persoonsgegevens weet dit en is op de hoogte dat FG's ontzettend belangrijk werk doen. Als FG sta je er niet alleen voor. We kunnen bij elkaar terecht en ook de Autoriteit Persoonsgegevens staat achter ons als FG.

Succesverhalen en Leerpunten

Kun je een voorbeeld geven van een situatie waarin je succesvol was in jouw rol als functionaris gegevensbescherming en wat heb je daaruit geleerd?
Een voorbeeld van een succesverhaal is dat ik geleerd heb dat het belangrijk is om bij bestuur, directeuren, afdelingshoofden en medewerkers informatie op te halen en vooral in te gaan op signalen die ze geven. Vooral laagdrempelig en goed bereikbaar zijn. Op deze manier weten mensen je te vinden en word je meer aan de voorkant betrokken bij verschillende vragen/problematiek.

Toekomst van het Vak

Hoe zie jij de toekomst van het beroep van functionaris gegevensbescherming en welke ontwikkelingen verwacht jij in de komende vijf tot tien jaar?
Mijns inziens wordt de functie van Functionaris Gegevensbescherming alleen maar belangrijker (zie het Regeerprogramma [3]). Dit komt door alle snelle ontwikkelingen en innovatie op het gebied van data (verwerken van persoonsgegevens), AI en algoritmes en digitalisering.

Nog een laatste vraag: wil je nog iets delen waarbij je het niet eens bent met veel andere FG’s, het NGFG  of anderen?
Naast Functionaris Gegevensbescherming ben ik ook de Functionaris Gegevensbescherming bij het Commissariaat voor de Media. Ook een toezichthouder, maar op een ander toezichtsveld.

Voordat ik bij de Autoriteit Persoonsgegevens kwam werken, had ik ook een mening over de Autoriteit Persoonsgegevens: waarom reageren ze laat of zelf niet, waarom worden niet alle klachten of datalekken in behandeling genomen, wat doen ze daar? Nu ik er werk, kan ik zeggen dat iedereen professioneel, deskundig en erg gedreven is. Er is namelijk veel kennis in huis. We houden toezicht op onder andere de naleving van de AVG en andere privacywetgeving bij alle organisaties in Nederland (en EER met andere toezichthouders), politie en overheid. Dat is een heel groot toezichtsveld, groter dan van andere toezichthouders. Hierdoor heb ik een ander beeld gevormd. Er wordt keihard gewerkt, maar capaciteit en geld blijft een grote uitdaging.

Mijn doel toen ik bij de Autoriteit Persoonsgegevens kwam werken was om als Functionaris Gegevensbescherming meer zichtbaarder te zijn in onder andere netwerken. Dat gaat me steeds beter lukken. 

Meer informatie

Wil jij meer weten over Erwin Daverveld of hem persoonlijk benaderen? Kijk dan even op zijn LinkedIn-profiel of gebruik de Leden zoeken Leden-pagina op ngfg.nl.

[1] Hoofdstuk 7. Goed bestuur en sterke rechtsstaat – pagina 88.
[2] Coördinatie toezicht algoritmes & AI | Autoriteit Persoonsgegevens
[3] Uitwerking van het hoofdlijnenakkoord door het kabinet 13 september 2024 - Hoofdstuk 7. Goed bestuur en sterke rechtsstaat – pagina 88.