IFORI treedt voor heel wat organisaties op als externe Data Protection Officer (DPO), of als privacy officer in ondersteuning van de interne DPO. Hierbij treden de medewerkers van IFORI op als vaste contactpersoon voor onze klanten in de vervulling van deze rollen. In deze blog geeft Thomas een overzicht van wat je kan verwachten tijdens een werkweek als DPO.
Als Data Protection Officer (DPO) is mijn werkweek een delicaat evenwicht tussen proactieve maatregelen voorstellen, overeenkomsten reviewen en crisisrespons. Ga met me mee op reis door een typische werkweek, opgesplitst per uur.
Thomas is 31 jaar en werkt inmiddels 1 jaar bij IFORI als Senior Privacy legal counsel. Daarvoor werkte Thomas als zelfstandige voor een legal tech start-up en voor verschillende ondernemingen als privacy consultant. We vroegen hem om een week lang een dagboek bij te houden. Dit is zijn verhaal:
Maandag: Oplijsting actiepunten voor de week
09:00 – 10:00 Ik start de week als DPO voor een Vlaamse overheidsinstelling. De week begint met een aanpassing van de stand van zaken en oplijsting van de actiepunten. In deze tijd kan ik dringende zaken inhalen en de toon voor de week zetten.
10:00 – 12:00 Maandagvoormiddag staat in het teken van vergaderingen met de voornaamste contactpersonen om de actiepunten te overlopen en taken te verdelen. Ik werk hiervoor vooral samen met IT-, HR-, juridische en compliance-teams om ervoor te zorgen dat de policies rond gegevensbescherming worden opgesteld conform de decretale bevoegdheden, geïmplementeerd en worden nageleefd.
12:00 PM – 12:30 Lunchpauze – een kans om op te laden voordat we ons storten op de taken van de namiddag.
12:30 – 15:00 Aan het begin van de middag bekijk en beantwoord ik e-mails en zorg ik ervoor dat ik dringende vragen van medewerkers of klanten over gegevensbescherming worden beantwoord.
15.00 – 17.00 De dag wordt afgesloten met een analyse van de nieuwe regelgeving (NIS2) op het gebied van gegevensbescherming. Daarnaast bekijk ik de belangrijkste beslissingen over GDPR in Europa en welke gevolgen deze kunnen hebben op onze lokale implementatie. Deze kennis is van vitaal belang om beleid bij te sturen en onze procedures compliant te houden.
Dinsdag: Opstellen van een overeenkomst
09:00 – 10:00 Vandaag werk ik voor een grote e-commerce retailer. De dag begint met een nieuwe adviesvraag. Voor een marketingcampagne zullen persoonsgegevens van klanten worden bezorgd aan deelnemende partners. Ik adviseer om dit te consolideren en een ‘data sharing’ overeenkomst.
10:00 – 10:30 Even afstemmen. Samen met de juridische en marketing afdeling werken we aan het opstellen van een goede overeenkomst.
10:30 UUR – 12:30 Helemaal losgaan in het opstellen van deze overeenkomst. Hier zal ik nog wel een flink stuk van de dag werk aan hebben.
12:30 – 13:00 Lunchpauze – even bijpraten met collega’s van de onderneming waar ik éénmaal per week voor werk. Dat is leuk en blijf ik op de hoogte van de laatste interne ontwikkelingen.
12.30 – 16.00 Ik spendeer verder alle beschikbare tijd aan het opstellen van deze overeenkomst. Met hulp van mijn collega’s en op basis van andere gelijkaardige overeenkomsten maak ik goede vooruitgang.
16.00 – 17.00 De dag wordt afgesloten met een trainingssessie voor nieuwe werknemers waarbij ik hen informeer over de GDPR-processen binnen de onderneming, zodat ze weten waar en bij wie ze moeten aankloppen bij mogelijke vragen of problemen. Geïnformeerd personeel is immers de eerste verdedigingslinie tegen datalekken.
Woensdag: Internationaal overleg
09:00 – 10:00 Vandaag en morgen werk ik voor een andere onderneming, actief in het aanbieden van verschillende IT-oplossingen. Ze zijn een sterk groeiend bedrijf, maar hebben nog nood aan GDPR-implementatie en ondersteuning van een expert. De woensdagochtend begint met afstemmoment met mijn interne manager, hoe we met haar internationale collega’s de verschillende verwerkingsactiviteiten per lokale afdeling zullen invullen.
10.00 – 12.30 Ik bereid verder het Register van Verwerkingsactiviteiten (ROPA) voor zodat alle internationale collega’s een goed overzicht hebben welke processen waar en op welke wijze worden gestructureerd.
12.30 – 13.00 Lunchpauze – een moment van adempauze voordat we ons gaan verdiepen in de tweede helft van de dag.
13:00 – 15.00 De middaguren gaan snel voorbij doordat we met de internationale collega’s virtueel samenzitten en coördineren wie welk nazicht zal uitvoeren. Het leven als DPO houdt duidelijk veel coördinatie en overleg in!
15.00 – 17.00 De dag wordt afgesloten met een debrief en een plan voor de volgende dag.
Donderdag: Alarm!
09:00 – 11:00 : Alarm! De donderdagochtend begint met een melding van een datalek! Een onmiddellijke reactie is cruciaal om de impact van een datalek te minimaliseren. Ik ga onmiddellijk aan de slag om een analyse uit te voeren over de ernst van het lek om te kunnen inschatten of een melding aan de Gegevensbeschermingsautoriteit nodig is of niet. Gelukkig wijst onze analyse op een laag risico en dienen we enkel te documenteren en mitigerende maatregelen te implementeren.
11:00 – 12:00 Terug naar het Register. Ondertussen al veel feedback gekregen van de internationale collega’s. Hier kan ik mee verder werken.
12.00 – 13.00 Lunchpauze – tijdens de lunchpauze wordt een spreker door de onderneming uitgenodigd in de cafetaria om te praten over gezonde snacks. Leuk om mee te pikken!
13.00 – 16.00 Namiddaguren zijn verder gewijd aan het verfijnen van het Register. Continue verbetering is de sleutel!
16.00 – 17.00 De dag wordt afgesloten met een teamvergadering om het incident te bespreken en ervoor te zorgen dat iedereen op één lijn zit wat betreft de protocollen voor het reageren op incidenten.
Vrijdag: Overleg en reflectie
09:00 UUR – 10:00 Vrijdag kantoordag! Op vrijdag zijn we allen op kantoor bij IFORI in Gent. Ik start de dag met het lezen en beantwoorden van mails.
9.00 – 12.00 Vrijdagochtend staat in het teken van overlegmomenten. We wisselen ervaring uit tijdens de GDPR competence centre meeting, over onze projecten en brainstormen we over moeilijke juridische kwesties. Van je collega’s moet je het hebben … De voormiddag wordt afgesloten met een algemene teamvergadering om de belangrijkste praktische punten te bespreken en een zicht te krijgen op de agenda voor komende periode.
12:00 – 12:30 Lunchpauze – samen met de IFORI-collega’s is het iedere eerste vrijdag van de maand zeker FRENCH FRY-day, jeeej, samen frietjes eten!
13.00 – 17.00 De namiddag bestaat uit het verder werken op GDPR projecten en aftellen naar het weekend!
Mijn conclusie: DPO zijn is een evenwichtsoefening
Een DPO zijn is een veeleisende maar bevredigende rol. Elke dag brengt unieke uitdagingen met zich mee, van strategische planning en overleg tot het voorbereid zijn op incidenten. In een wereld waarin gegevens het nieuwe goud is, is de rol van een DPO cruciaal om ervoor te zorgen dat organisaties veilig en ethisch door het digitale landschap kunnen navigeren.
