NIEUWSARTIKEL

NGFG leden door de jaren heen: Ronald Spek aan het woord

Geplaatst op 03-10-2024  -  Categorie: Interviews  -  Auteur: Ronald Spek

Ronald Spek, Privacy Jobs

In de reeks NGFG-leden door de jaren heen richten we deze keer de spotlight op Ronald Spek, een ervaren privacy consultant én recruiter, gespecialiseerd in de werving- en selectie van privacy professionals voor vaste en interim posities. Ronald is sinds 2020 lid van het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) en voorzitter van de NGFG commissie Arbo. Na een carrière in diverse sectoren, waaronder Bank- en Verzekeringswezen, IT en Arbodienstverlening heeft hij een switch gemaakt naar het privacy- en recruitment vak. In dit interview deelt hij zijn inzichten over de rol van het NGFG in zijn professionele ontwikkeling, de uitdagingen die hij tegenkomt in zijn werk, en hoe hij de toekomst van gegevensbescherming in Nederland ziet. Zijn verhaal biedt een blik op de impact van NGFG-lidmaatschap op het dagelijkse werk van een Functionaris Gegevensbescherming.

Kun je ons iets vertellen over je achtergrond en hoe je in het vakgebied van gegevensbescherming terecht bent gekomen?
Ja, dat is een interessante vraag! Ik ben na mijn militaire diensttijd ooit begonnen bij een bank en was toen nog parttime bezig met mijn studie. Ik heb altijd in omgevingen gewerkt waar wet- en regelgeving erg belangrijk is en was al op jonge leeftijd geïnteresseerd in jurisprudentie. Van mijn buurman kreeg ik vanaf mijn 16e altijd de periodieke groene boekjes van Tjeenk Willink met recente gerechtelijke uitspraken. Door één van mijn stagiaires werd ik ooit zelfs bestempeld als wannebejurist maar van een rechtenstudie is het nooit gekomen. 

In 2017 stond ik op het punt om partner te worden bij een werving- en selectiebureau toen ik in  aanraking kwam met de opleiding tot privacy professional van The Privacy Factory. Ik vond de materie erg interessant en voorzag met de komst van de AVG ook een geheel nieuwe markt en bedacht toen al dat ik twee ambities zou gaan combineren.  

De opleiding was toen overigens een fulltime opleiding van een half jaar waar naast het theoretische deel m.b.t. de AVG en andere relevante wet- en regelgeving veel aandacht werd besteed hoe je dit implementeert bij een organisatie. Een belangrijk onderdeel was het daadwerkelijk begeleiden van een organisatie bij de implementatie van de AVG met alles wat daarbij hoort. Ik ben mijn praktijkopdracht in 2017 gestart en heb deze uitgevoerd bij een letselschade bureau. Hier werd onder andere met franchisenemers gewerkt waardoor er interessante vraagstukken voorbijkwamen. Bijvoorbeeld de vraag wie verwerkingsverantwoordelijk is maar ook wie verantwoordelijk is voor de archivering van dossiers met daarin de nodige bijzondere persoonsgegevens. En wat te doen als een franchisenemer stopt etc. Er was in 2017 nog veel onduidelijk en er was nog weinig voorbeeld materiaal beschikbaar. Dat maakte het soms ingewikkeld, maar ook wel extra interessant. Zo ben ik in het privacy vak gestart en heb ik mijn ambitie om in recruitment te starten even uitgesteld. 

Inmiddels ben ik alweer een aantal jaren actief met mijn werving- en selectie en interim bureau Privacy Jobs en nog voor een klein deel als FG en privacy consultant. Het leuke is dat ik van zowel kandidaten als opdrachtgevers veel positieve feedback krijg omdat ik één van de weinige recruiters in de markt ben die ook inhoudelijk het nodige van het vakgebied af weet.

Hoe ziet een typische werkdag eruit voor jou als privacy consultant bij Privacy Jobs?
Bij mij ziet iedere dag er anders uit omdat ik verschillende petten op heb. Als FG voor een paar wat kleinere organisaties heb ik periodiek overleg m.b.t. de stand van zaken, bespreek ik voor hen relevante ontwikkelingen in wet- en regelgeving en adviseer onder andere over verbeterstappen die te maken zijn. Bij calamiteiten word ik meestal gevraagd om nog even mee te kijken of men niets over het hoofd heeft gezien, bijvoorbeeld bij een datalekmelding aan de AP.

Als recruiter spreek ik regelmatig met opdrachtgevers over wat men zoekt, waarbij ik dan meestal met hen op zoek ga naar wat er daadwerkelijk nodig is en welk type persoon het beste in het team en bij de organisatie past om zodoende de juiste professional te kunnen selecteren. De meeste tijd besteed ik overigens aan intakes met kandidaten. Ik vind vooral de persoonlijke benadering van belang zodat ik begrijp waar iemand goed in is en waar de kandidaat energie van krijgt. Dit is volgens mij het beste recept voor een succesvolle match.

Kun je enkele voorbeelden geven van de meest uitdagende projecten waaraan je hebt gewerkt?
Ik vond mijn eerste opdracht als zelfstandig consultant begin 2018 best uitdagend. Ik werd toen ingehuurd als projectleider AVG op een deelproject bij de ANWB als onderdeel van het programma dat er liep om te zorgen dat de ANWB klaar was voor 25 mei 2018. Veel medewerkers vonden het vooral gedoe, maar het was mooi om te zien dat met een beetje humor en de juiste uitleg we mensen wel meekregen. Er is in die periode door heel veel mensen veel werk verzet in aanloop naar 25 mei, D-day zoals dat toen werd gevoeld, en het was wachten op The Big Bang…. maar die kwam gelukkig niet …  

De uitvoering van mijn eerste DPIA vond ik ook best een  uitdaging. Het ging hier om de inzet van Geofencing door mijn opdrachtgever. Er was gelukkig al wel een DPIA beschikbaar bij de leverancier op basis van het Rijksmodel maar daar vond ik wel het nodige van. Ik heb vervolgens het NOREA model gebruikt maar dat bleek ook nog best ingewikkeld. Vooral het beoordelen van de verschillende risico’s vond ik lastig, omdat er weinig expertise beschikbaar was binnen de eigen organisatie. In de rol van FG vind ik het beoordelen van een DPIA en het schrijven van het FG advies een stuk prettiger. Er hebben dan tenslotte altijd al anderen naar gekeken en in mijn beoordeling kijk ik dan of ik het eens ben met het resultaat. 

De grootste uitdaging die ik in mijn privacy carrière heb meegemaakt was niet zozeer een project maar gaat over lesgeven aan HBO studenten. Ik was zeer vereerd toen ik werd gevraagd om aan een Hogeschool in een minor Cyber, Law en Security het onderdeel Privacy Recht voor mijn rekening te nemen. Het idee is dat door professionals uit het werkveld in te zetten, ervaringen uit de praktijk aan studenten mee kunnen worden gegeven. Nu heb ik in mijn carrière best wel veel presentaties gegeven dus ik dacht, overigens nadat ik door mijn opdrachtgever overtuigd was dat ik de juiste persoon was, dat doe ik wel even. Nou … dat heb ik geweten! Er was gelukkig veel materiaal beschikbaar, inclusief de hoorcolleges, maar HBO studenten boeien daar had ik duidelijk geen ervaring mee. Dit speelde zich overigens af in Corona tijd. Helemaal lastig werd het toen we ook nog een harde lockdown kregen en ook in het onderwijs weer online les gegeven moest worden. Dit is voor mij persoonlijk een erg leerzaam traject geweest en gaandeweg begreep ik ook beter wat een goede aanpak is. Als ik weer in zo’n situatie terecht zou komen dan zou ik het vanaf de start anders aanpakken. Kortom dit was een uitdagend én zeer leerzaam traject voor mij.

Hoe draagt jouw lidmaatschap bij het NGFG bij aan jouw werk als privacy consultant?
Onder andere door de kennissessies die het NGFG organiseert en natuurlijk via de diverse branche commissies. Het netwerk van FG’s dat mijn lidmaatschap van het NGFG mij biedt, is enorm waardevol voor mijn praktijk omdat het heel verhelderend kan zijn om dillema’s – waar je als FG soms mee kunt worstelen- met collega FG’s in alle openheid kunt bespreken. Het beroep van FG is namelijk soms best eenzaam en daarnaast is het altijd maatwerk omdat elke organisatie anders in elkaar steekt. Dan put ik steun uit een mooi netwerk van FG’s die zich verbonden voelen binnen het NGFG voor zowel kennisdeling, intervisie en – niet in de laatste plaats – de gezellige borrels die periodiek voor leden georganiseerd worden. Zelf ben ik mede initiatiefnemer en voorzitter van de Commissie Arbo waar we met elkaar kunnen sparren of zaken waar we tegenaan lopen binnen de sector kunnen bespreken. De commissie Arbo verwelkomt graag leden die een bijdrage willen leveren aan het werk van deze commissie. Het is naast heel gezellig ook heel leerzaam en we versterken elkaar door het delen van kennis en kunde. Ook jongere c.q. startende FG’s kunnen veel baat hebben bij deelname aan onze commissie Arbo. Ik hoor graag als er interesse is, dan neem ik je mee in het reilen en zeilen binnen de commissie.

Welke recente trends en ontwikkelingen in de gegevensbescherming zijn volgens jou het meest relevant voor het werk van een privacy consultant en hoe beïnvloeden deze jouw werk?
Er is behoorlijk wat nieuwe wetgeving die aan ons vak raakt. Daarnaast is er inmiddels jurisprudentie waardoor alleen kennis of raadplegen van de tekst van o.a. de AVG en UAVG niet (meer) voldoende is. Het bijhouden van kennis is en blijft dus van belang. Verder is AI natuurlijk een ontwikkeling die veel impact heeft op ons vakgebied. Ik vind het wel steeds lastiger om als FG alle ontwikkeling bij te houden maar probeer wel zoveel mogelijk kennissessies bij te wonen. Verder verwacht dat we in de toekomst steeds vaker specialisten zullen raadplegen.

Hoe zie jij de rol van het NGFG in het bevorderen van samenwerking tussen Functionarissen Gegevensbescherming binnen verschillende sectoren?
Ik denk door het faciliteren van de eerder genoemde branche commissies. Daar zijn er nu vier van: Onderwijs, Gemeenten, Zorg & Sociaal Domein en Arbo. Ik kan mij voorstellen dat er wel meer branches zijn waarvoor het oprichten van een branche commissie interessant is en dat het NGFG daarin een stimulerende en faciliterende rol in kan hebben. Ook het onderhouden van contacten met Brancheorganisaties kan hierin mogelijk helpen. Heb jij hierover ideeën, stuur dan even een bericht aan Dick Barbier, bestuurslid en portefeuillehouder Relatiebeheer.

Wat zijn je toekomstvisies en doelen voor zowel je rol bij het NGFG als bij Privacy Jobs? Hoe zie je de toekomst van gegevensbescherming in Nederland?

Met ontwikkelingen als AI en alsmaar groter wordende dataverzamelingen waarin ook persoonsgegevens voorkomen, verwacht ik dat er blijvend veel uitdagingen liggen om rechten en vrijheden van betrokkenen te kunnen beschermen. Daarom zal ons vakgebied naar mijn verwachting voorlopig nog wel groeien en zal er ook ruimte zijn voor specialisatie. Ook verwacht ik dat er ruimte is voor groei van het aantal leden van het NGFG. Er zijn, zo begreep ik laatst, zo’n 8.000 unieke FG’s in Nederland. Doordat het NGFG steeds meer activiteiten ontplooit, verwacht ik dat meer FG’s geïnteresseerd zijn in een lidmaatschap van het NGFG. Daarnaast voel ik mij ook een beetje ambassadeur van ons genootschap en bespreek met mijn kandidaten en opdrachtgevers in mijn werving & selectie praktijk ook altijd wat het NGFG voor hen kan betekenen.

Voor Privacy Jobs voorzie ik voorlopig nog een groei in het aantal vacatures en opdrachten. Wel ben ik erg benieuwd of handhaving van de wet DBA invloed zal hebben op de groei of krimp van het aantal ZZP’ers. De meeste ZZP’ers binnen ons vakgebied maken zich nog weinig zorgen, zo blijkt uit een poll die ik onlangs heb uitgevoerd.  Wel zie ik terughoudendheid bij opdrachtgevers om ZZP’ers in te huren en lijkt het erop dat er gewoon minder opdrachten voor ZZP’ers over blijven. De praktijk zal het leren. We blijven de ontwikkelingen volgen om er ook op de juiste wijze op in te kunnen spelen.

Hoe draagt het NGFG bij aan de ontwikkeling van nieuwe richtlijnen en standaarden voor gegevensbescherming in Nederland?

Ik denk dat de rol van het NGFG erg belangrijk is bij het vaststellen van een minimum kennis- en kwaliteitsniveau waaraan een FG moet voldoen. Daarom is het ook van belang dat het NGFG als beroepsorganisatie nauw betrokken is bij de voorbereidingen voor de oprichting van het Nationaal Register Functionarissen Gegevensbescherming, het NRFG. Momenteel wordt door een aantal partijen, waaronder het Ministerie van Justitie en Veiligheid, een afvaardiging van leden van het NGFG en andere organisaties uit het werkveld hard gewerkt om dit te realiseren. Verder zijn er al een aantal zaken opgepakt die de deskundigheid van FG’s kan vergroten. Denk hierbij aan het mentor- en intervisieprogramma en uiteraard de Branche Commissies.

Welke rol speelt het NGFG bij het vergroten van het bewustzijn van privacy kwesties binnen het bedrijfsleven en de overheid?
Mijn eerlijke antwoord op deze vraag is dat ik nog niet duidelijk zie dat het NGFG deze rol speelt. Hier valt in mijn optiek nog het nodige te doen om ook voor de buitenwereld, dus buiten onze eigen leden, zichtbaar te worden. Ik denk ook dat er met de huidige ontwikkelingen binnen ons genootschap genoeg mogelijkheden zijn om ons ook naar buiten toe meer te profileren.

Wil je nog iets delen waarbij je het niet eens bent met veel andere FG’s, de AP of anderen?
Ja, eigenlijk wel. Ik ben van mening dat het raar is, dat er in zo’n beetje iedere vacature voor een FG of Privacy Officer wordt gevraagd naar een CIPP/E certificering. Zonder het IAPP tekort te willen doen, ik ben er tenslotte zelf ook lid van, vind ik het vreemd dat een Amerikaanse club zoveel invloed heeft in Europa. Ook denk ik, dat het alleen hebben van een CIPP/E certificering geen goede basis is om het Privacy vak te kunnen uitoefenen, maar dat terzijde.

Marketing technisch heeft het IAPP het gewoon heel goed gedaan en de organisatie is al best lang actief. En toch zijn we, voor zover ik weet, nog niet in staat om daar een Europees initiatief tegenover te stellen. Wel wordt daar zo links en rechts aan gewerkt, maar tot op heden nog niet met groot succes. Ik ben wel benieuwd wat anderen hiervan vinden. Als ik mij even beperk tot Nederland dan zie ik tenslotte genoeg goede opleiders en opleidingen. Soms verzorgen deze opleiders ook CIPP/E trainingen, maar ik zou willen pleiten voor een écht Europees initiatief en zie ook mogelijkheden voor samenwerking tussen verschillende verenigingen, zowel nationaal als in Europees verband . Ik zou hierover binnen het NGFG wel een discussie willen starten. (Opmerking redactie: Ga hier naar het ledenforum en discussieer mee)

Wil je verder nog iets kwijt?
Nu ik toch bezig ben … Ik zie grote verschillen in de aanpak door FG’s met betrekking tot de invulling van hun taak. Persoonlijk vind ik, en daarin sta ik volgens mij niet alleen, dat je als FG niet in de uitvoerende rol actief moet zijn en ik doe dat zelf ook niet bij mijn opdrachtgevers. Dat weten ze en dat wordt ook gerespecteerd. Aan de andere kant hoor ik regelmatig van FG’s dat ze er niet onderuit komen om zelf met de uitvoering aan de slag te gaan omdat het anders niet gebeurt. Lijkt mij een lastig dilemma.

Om af te sluiten wil ik nog wel kwijt dat ik mijn lidmaatschap van het NGFG heel waardevol vind. Naast dat het interessant is om vakgenoten te treffen en met de inhoud van het vakgebied bezig te zijn is het ook vooral leuk om via het NGFG zoveel verschillende FG’s te treffen. Overigens hulde aan het bestuur met de ingeslagen weg en de opgestarte activiteiten: Ga zo door!

Meer informatie

Wil jij meer weten over Ronald Spek of hem persoonlijk benaderen? Kijk dan even op zijn LinkedIn-profiel of gebruik de Leden zoeken Leden-pagina op ngfg.nl.