Dag uit het leven van

Caroline Willemse

22 september 2020 Caroline Willemse
PDF
In dit artikel:

Mijn dagelijkse bijdrage aan het aantonen van privacybestendig gedrag

6.00 uur

Na een ochtendgroet van de wekker is het tijd om op te staan en het ochtendritueel uit te voeren, waardoor ik toonbaar word voor de dag en mijn maag gevuld is.

6.30 uur

Ik rijd weg uit een dorp iets boven Utrecht. Onderweg luister ik naar radio Utrecht, die leuke muziek uit vroegere jaren draait. Zalig om hardop mee te zingen. Gelukkig is het nog steeds rustig op de weg en ben ik binnen een uur op ons kantoor in Den Haag. Ik werk sinds oktober 2018 bij Duthler Associates als deskundige op het gebied van bescherming van persoonsgegevens en informatieveiligheid. In deze functie komt al mijn kennis en ervaring bij elkaar die ik heb opgedaan als accountant, IT-auditor en risicomanager in de banken- en pensioensector. Om 7.30 uur kom ik aan bij het kantoor dat gevestigd is in een mooi, oud pand in het Statenkwartier. Gelukkig is het nieuwe werken hier niet ingevoerd en beschik ik over een eigen kamer en bureau met ladeblokken. Het ventilatiesysteem bestaat uit een raam dat open en dicht kan. Ook prettig in deze corona-tijd. Het eerste halfuur op kantoor is voor mezelf met een kopje koffie en de digitale krant.

8.00 uur

Ik begin aan de werkdag. Eerst werk ik een conceptrapport af voor een gemeente. Daar heb ik een onderzoek gedaan naar de bescherming van persoonsgegevens. Altijd leuk om te doen bij een gemeente, want de hoeveelheid persoonsgegevens is groot, net als de complexiteit. Een compliment aan de gemeente dat zij een onafhankelijke toets willen op het omgaan met persoonsgegevens binnen de gemeente, inclusief de governance voor dit onderwerp.

10.00 uur

Nadat ik het conceptrapport heb opgestuurd, begin ik aan een opdracht waarvoor ik uitgeleend ben aan MYOBI (Mind Your Own Business Information), een Trusted Third Party (TTP). De gebruikersvereniging van MYOBI is een gedragscode aan het opzetten voor bedrijven die aangesloten zijn bij MYOBI. De vereniging beoogt met de gedragscode afspraken vast te leggen dat de bedrijven zich aan de Algemene Verordening Gegevensbescherming (AVG) houden en zich (aantoonbaar) verantwoorden over de mate waarin het bedrijf hierin geslaagd is. Die verantwoording is nodig om zelf verantwoording af te leggen, maar ook naar ketenpartners en betrokkenen. MYOBI faciliteert bedrijven hiertoe met een informatie-ecosysteem met bijbehorend governancemodel, waarmee deze bedrijven de naleving van de gedragscode kunnen organiseren. Ik werk mee aan het ontwikkelen van diverse hulpmiddelen waarmee de bedrijven hun verantwoordingscyclus kunnen inrichten en aantoonbaar verantwoording van de naleving van de gedragscode kunnen afleggen. Ook ben ik betrokken bij het inrichten van de processen.

De verantwoording over het naleven van de gedragscode door het bedrijf is een zelfverklaring waarin de leiding van het bedrijf verklaart zich op een bepaald volwassenheidsniveau aan de code te hebben gehouden. In het verantwoordingsproces wordt ook de functionaris voor gegevensbescherming (FG) betrokken, omdat dit de functionaris is die intern toeziet op de naleving van de AVG. De FG bevestigt (of juist niet) het volwassenheidsniveau dat de leiding in de zelfverklaring heeft aangegeven en maakt hiermee aantoonbaar zijn wettelijke toezichtstaak te hebben uitgevoerd. MYOBI neemt haar verantwoordelijkheid als TTP door een formele en materiële controle op de zelfverklaring uit te voeren. Daarnaast is in het governancemodel een Accountability Board opgenomen, waarin deskundigen zitting hebben, die vanuit een toezichthoudende rol de naleving van de gedragscode controleert.

Op dit moment testen we de geautomatiseerde ondersteuning, en vinden we toch altijd weer wat verbeterpuntjes, en zijn we de processen aan het operationaliseren. Ook leggen we de laatste hand aan het omzetten van het volwassenheidsniveau van de zelfverklaring in een Accountability Seal dat wordt opgenomen in een openbaar register. Het maatschappelijk verkeer, waaronder ketenpartners en personen, kunnen het register raadplegen en op basis van de Accountability Seal besluiten om (persoons)gegevens te gaan of te blijven delen met het bedrijf. MYOBI heeft zo’n solide verantwoordingsproces in elkaar gezet, dat ik verwacht dat de accountantskosten voor de bedrijven flink verlaagd kunnen worden.

13.00 uur

Tussen de middag loop ik even naar het strand om de zee te ruiken. Wel een luxe om op een kantoor te werken dat zo dicht bij de zee is. Met een fris hoofd begin ik aan de voorbereiding van de module die ik morgen verzorg aan de opleiding FG van onze Academy. Dat is een tweejarige opleiding die ik zelf ook gevolgd heb. Des te leuker dat ik nu zelf les mag geven. Er wordt veel gevraagd van een FG, zowel qua kennis als attitude. Daarom is een korte opleiding vaak onvoldoende om deze functie van ‘schaap met vijf poten’ uit te kunnen voeren. Helaas zien we bij bedrijven nog steeds FG’s die alleen een formele rol hebben en niet in staat zijn of gelegenheid krijgen hun wettelijke taken uit te voeren. De ‘ongelukjes’ die hierdoor ontstaan, zien we nu steeds vaker beboet worden door de AP. Aan de Academy geef ik verschillende modules waaronder informatiebeveiliging. De kennis en vaardigheden als RE komen dan goed van pas om de stof uiteen te zetten en de relatie met de bescherming van persoonsgegevens te leggen.

17.30 uur

Ik vind het wel welletjes en ik begin aan de autorit naar thuis. Nu merk ik dat het toch wat drukker wordt onderweg. Het kost me wat langer om Den Haag uit te komen en op de A12 voel ik me niet meer alleen. In het dorp eten we bij mijn favoriete kok een dagmenu met een lekker wijntje erbij. Deze kok verwent me al ruim twintig jaar elke week met zijn kookkunsten. Het is lekker lang licht dus ik werk nog een uurtje in de tuin. Alles groeit en bloeit prachtig en ik kan genieten van elke plant en bloem. Tijdens het tuinwerk word ik getrakteerd door een vrolijk zangkoor van vogels.

21.00 uur

Op dit tijdstip gaat voor mij privé de privacywetgeving in.

Geen categorie

C. (Caroline) Willemse RE AA RFG | Consultant Privacy en ICT bij Duthler Associates

Caroline heeft dertig jaar in de bankensector gewerkt. In deze periode heeft zij diverse studies gedaan waaronder AA (met certificerende bevoegdheid), RE, Forensische Accountancy (Leiden/ Nyenrode), Assurantie A en B en diverse interne opleidingen. Daarna is zij overgestapt naar de pensioensector en heeft daar gewerkt als riskmanager en internal auditor. Daarbij is zij weer aan het studeren gegaan en heeft de tweejarige Leergang Functionaris voor Gegevensbescherming (FG) gevolgd. De Leergang FG heeft haar gestimuleerd om achter de privacywetgeving te kijken naar de gedachten waaruit deze wetgeving is ontstaan. Sinds oktober 2018 is zij werkzaam als consultant Privacy en ICT bij Duthler Associates.