Toon posts:

DPO worden als dienst naar onze klanten

Pagina: 1
Acties:

Vraag

vrijdag 28 juli 2023 12:45

Acties:
  • 0 Henk 'm!
  • MonoKid
  • Registratie: December 2008
  • Laatst online: 01-06 02:53

MonoKid

Topicstarter
Ahoy!

Momenteel werk ik voor een kleine IT-partner (10 mensen) die heel wat KMO/SME's ondersteunt als externe IT-partner. We plaatsen hardware, maar zetten vooral in op software, cloud, O365, antivirus, firewall, migratie naar cloud, telefoonsupport, etc.

Mijn werkgever vraagt me nu om te overwegen om DPO te worden en in die zin, GDPR-advies te kunnen geven aan onze klanten. We hebben dit steeds afgehouden (schoenmaker, blijft bij uw stiel), maar onze baas wil daar graag verandering in brengen.

Ik ben zelf eerder business consultant, dus zit elke dag diep in de bedrijfssoftware, boekhoudsoftware en ERP's allerlei, maar ik heb géén ervaring als het gaat over GDPR, privacy of juridische kwesties, op uitzondering van AWW/AML. That's about it :)

Ik twijfel om deze kans aan te grijpen. Enerzijds wil ik wel graag dat ons bedrijf deze dienst wél kan aanbieden aan onze klanten. We beheersen deze materie als degelijke IT-partner zelf niet helemaal en iedereen (wij en onze klanten) beschouwen GDPR als weer-een-administratieve-verplichting-waar-niemand-tijd-voor-heeft. Ook is het zo dat veel van onze kleine en middelgrote klanten met geen stokken bewogen kunnen worden als het gaat over veiligheid en privacy. 2FA implementeren is een telkens weer een hele Odyssee. Anderzijds interesseert met de juridische kwestie hierrond geen ene sikkepit.

Mijn werkgever garandeert me echter dat dit niet zo'n juridische steekspel hoort te zijn. Ik informeerde me ook bij de partij die de cursus en certificering aanbiedt, en ze geven ook aan dat er géén voorkennis nodig is, enkel motiviatie :)

Dus mijn vragen:
- Zijn er Tweakers in een gelijkaardige situatie, wat is jullie aanpak individueel?
- Aansluitend met hierboven, hoe bieden jullie dit aan, aan jullie eigen klanten/gebruikers?
- Is het in onze situatie valabel om deze dienst aan te bieden?

Dank voor jullie inzichten!

Beste antwoord (via MonoKid op 12-08-2023 19:19)

woensdag 9 augustus 2023 21:57

  • i-chat
  • Registratie: Maart 2005
  • Niet online

i-chat

@bw_van_manen - wat je zelf hier aangeeft is dat je privacy vraagstukken (mag ik gokken) vanuit een technisch oogpunt beantwoordt over één specifiek product (de software die jullie zelf bouwen)

aan de juridische kant vermoed ik dat je letterlijk gewoon leken-antwoorden aan het geven bent,
het is namelijk nog al wat (kan ik je uit ervaring zeggen) om uit te vinden of de 'contractuele verplichtingen uitvoeren' grondslag uit de GDPR wel correct wordt toegepast 1 In jullie product. om maar eens een vrij voor de hand liggend voorbeeld te geven. doe je zoiets voor je eigen product op basis van gedegen technische kennis (en liefst een klein beetje extern juridisch advies) dan gaat dat in de regel helemaal prima. zolang je het bij een specifiek en duidelijk te begrijpen scenario houdt.

offtopic:
DISCLAIMER: ik probeer hier niet op de man te spelen of iemand belachelijk te maken, maar tegelijk probeer ik wel duidelijk te maken dat de materie complex is en bovendien heeel erg veel te wensen overlaat voor wat betreft interpretatie (dus weer juristenwerk).


Als ik dan naar de vraag van @MonoKid kijk dan kan ik niet anders zeggen dan: 'ben je gek geworden 2'
als jij als bedrijf of persoon extern advies gaat geven (dat is wat anders dan antwoorden geven op specifieke vragen), ben je juridisch ook al snel aansprakelijk voor eventuele gevolgschade van wanneer men jouw adviezen opvolgt. Als jouw baas dat risico wil nemen zal hij op zijn minst eerst een jurist in dienst moeten met voldoende specialisatie op het gebied van data verwerking. (denk HBO+ of wo master). Die kan dan in samenspraak met productspecialisten gedegen en voldoende-onderbouwde antwoorden geven op vragen van klanten. Als dit is wat jij voor ogen hebt om je in dit soort zaken te verdiepen dan raad ik je ten zeerste aan om in beginsel een algemene juridische opleiding te volgen en vervolgens specifieke privacy trainingen te volgen.

let op! vragen als, wat doet functie x en hoe is deze data beveiligd, zijn heel anders dan.
mag ik in deze situatie x, gegevens Y van personen Z verwerken. en dit zijn beiden vragen (uit de praktijk die dit soort bedrijven gaan stellen.

[1]dat gaat vaker fout dan je denkt* ik heb daar helaas geen cijfers van, maar als de verschillende privacy vragen op dit forum (en soortgelijke forums) een indicatie zijn dan vrees ik in meer dan 50% van de gevallen.
[2] geen persoonlijke aanval natuurlijk, maar wel een absolute reality check. (bron ik ben hbo juridisch geschoold en zou dergelijk advies al niet durven geven zonder verdere opleiding of cursussen ter waarde van enkele tientallen tot honderden studielast uren.

Alle reacties

vrijdag 28 juli 2023 13:45

Acties:
  • +4 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

DPO is wat in Nederland een functionaris gegevensbescherming is. En die heeft weinig (direct) van doen met techniek. En die hoort onafhankelijk te zijn van ‘de lijn’ en uitvoering.

Die inhuren vanuit de eigen IT-partner vind ik dan ook niet voor de hand liggen. Het diskwalificeert je meteen van het doen van IT-werkzaamheden voor diezelfde klant.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 30 juli 2023 22:23

Acties:
  • +1 Henk 'm!
  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 09:04

kodak

FP ProMod
Een DPO is onafhankelijke functie in een bedrijf en zorgt dat het bedrijf voldoet aan de geldende wetgeving op gebied van beschermen van persoonsgegevens. Als je werkgever jou DPO wil voor je eigen bedrijf wil maken dan hoor je dus doorslaggevende kritiek te kunnen hebben op wat jullie willen leveren, dus ook op GDPR-advies dat naar jou mening niet voldoet aan de wet. En als je werkgever je als DPO wil uitbesteden aan je klanten, dan hoor je dus ook onafhankelijk kritiek op het geleverde werk van je werkgever en leveranciers te kunnen leveren en overeenkomsten mogelijk zelfs afwijzen ook al staat je werkgever of collega's niet achter jou besluit omdat het ze geld tijd of reputatie kost.

Daarbij heeft adviseren over GDPR of DPO zijn juist wel met wetgeving te maken, omdat meningen vaak gaan om hoe je wel of niet goed genoeg aan de wet voldoet. Bij klanten die gdpr als zoveelste verplichting zien kun je er op rekenen dat die de wet proberen zien om grenzen op te rekken en jij met juridische argumenten moet komen waarom hun grenzen niet voldoen, of die van je werkgever bijvoorbeeld niet.

maandag 31 juli 2023 13:53

Acties:
  • +1 Henk 'm!
  • BytePhantomX
  • Registratie: Juli 2010
  • Laatst online: 15:14

BytePhantomX

Ben het erg eens met je opvatting, schoenmaker blijf bij je leest. IT partijen zijn naar mijn idee niet dé partijen waar ik naar toe zou gaan voor GDPR advies.
Ik zou je werkgever goed uitvragen wat hij precies denkt te gaan doen en waarom het zou passen bij jou rol en functie. En daarnaast zou ik mezelf echt afvragen of het past bij je eigen ontwikkeling en ambitie. Misschien een idee dat je werkgever er eerst zelf mee begint voor hij het aan jou vraagt?

maandag 7 augustus 2023 13:01

Acties:
  • +1 Henk 'm!
  • bw_van_manen
  • Registratie: April 2014
  • Laatst online: 15-09 08:50

bw_van_manen

Wat je beschrijft (GDPR-advies ... geven aan onze klanten) klinkt meer als een Privacy Officer dan als een FG/DPO rol. Een Privacy Officer is meer uitvoerend en de DPO is vooral controlerend georiënteerd. Een adviesrol met DPO als titel kan de verkeerde verwachtingen geven, wat onhandig is en verwarring schept. Ik zou dus eerst goed duidelijk krijgen wat de verwachtingen zijn.

Ik ben zelf vanuit een uitvoerende rol (vragen van onze klanten over GDPR implementatie in ons product beantwoorden) doorgegroeid naar een meer controlerende rol als DPO. Voor onze klanten en bij de Autoriteit Persoonsgegevens ben ik geregistreerd als verantwoordelijke en aanspreekpunt bij privacy vragen. In de praktijk wordt echter veel door mijn collega's beantwoord en kijk ik of dat goed gaat en waar ik zaken aan kan vullen en verbeteren.

Er blijft (bij ons) overlap tussen de functies doordat er niet genoeg werk is bij ons voor een fulltime DPO, maar als ik moet kiezen kan ik focussen op controleren/rapporteren. In een organisatie van 10 man zal het controle werk nog (veel) minder zijn en ben je als (op papier) DPO waarschijnlijk vooral aan het bedenken wat je kan veranderen/doen om je (in de praktijk) uitvoerende werk als Privacy Officer makkelijker/handiger/beter te doen.

woensdag 9 augustus 2023 21:57

Acties:
  • Beste antwoord
  • +2 Henk 'm!
  • i-chat
  • Registratie: Maart 2005
  • Niet online

i-chat

@bw_van_manen - wat je zelf hier aangeeft is dat je privacy vraagstukken (mag ik gokken) vanuit een technisch oogpunt beantwoordt over één specifiek product (de software die jullie zelf bouwen)

aan de juridische kant vermoed ik dat je letterlijk gewoon leken-antwoorden aan het geven bent,
het is namelijk nog al wat (kan ik je uit ervaring zeggen) om uit te vinden of de 'contractuele verplichtingen uitvoeren' grondslag uit de GDPR wel correct wordt toegepast 1 In jullie product. om maar eens een vrij voor de hand liggend voorbeeld te geven. doe je zoiets voor je eigen product op basis van gedegen technische kennis (en liefst een klein beetje extern juridisch advies) dan gaat dat in de regel helemaal prima. zolang je het bij een specifiek en duidelijk te begrijpen scenario houdt.

offtopic:
DISCLAIMER: ik probeer hier niet op de man te spelen of iemand belachelijk te maken, maar tegelijk probeer ik wel duidelijk te maken dat de materie complex is en bovendien heeel erg veel te wensen overlaat voor wat betreft interpretatie (dus weer juristenwerk).


Als ik dan naar de vraag van @MonoKid kijk dan kan ik niet anders zeggen dan: 'ben je gek geworden 2'
als jij als bedrijf of persoon extern advies gaat geven (dat is wat anders dan antwoorden geven op specifieke vragen), ben je juridisch ook al snel aansprakelijk voor eventuele gevolgschade van wanneer men jouw adviezen opvolgt. Als jouw baas dat risico wil nemen zal hij op zijn minst eerst een jurist in dienst moeten met voldoende specialisatie op het gebied van data verwerking. (denk HBO+ of wo master). Die kan dan in samenspraak met productspecialisten gedegen en voldoende-onderbouwde antwoorden geven op vragen van klanten. Als dit is wat jij voor ogen hebt om je in dit soort zaken te verdiepen dan raad ik je ten zeerste aan om in beginsel een algemene juridische opleiding te volgen en vervolgens specifieke privacy trainingen te volgen.

let op! vragen als, wat doet functie x en hoe is deze data beveiligd, zijn heel anders dan.
mag ik in deze situatie x, gegevens Y van personen Z verwerken. en dit zijn beiden vragen (uit de praktijk die dit soort bedrijven gaan stellen.

[1]dat gaat vaker fout dan je denkt* ik heb daar helaas geen cijfers van, maar als de verschillende privacy vragen op dit forum (en soortgelijke forums) een indicatie zijn dan vrees ik in meer dan 50% van de gevallen.
[2] geen persoonlijke aanval natuurlijk, maar wel een absolute reality check. (bron ik ben hbo juridisch geschoold en zou dergelijk advies al niet durven geven zonder verdere opleiding of cursussen ter waarde van enkele tientallen tot honderden studielast uren.

donderdag 10 augustus 2023 10:05

Acties:
  • 0 Henk 'm!
  • bw_van_manen
  • Registratie: April 2014
  • Laatst online: 15-09 08:50

bw_van_manen

@i-chat Ik ben het met je eens dat privacy advies gaan geven over random applicaties die je voor klanten installeert en andere random projecten, zonder een gedegen juridische opleiding, een zeer slecht idee is. Ik denk (of hoop) alleen dat het een stuk beperkter is dan dat en het dus meer over de beperkte scenario's rondom een productimplementatie gaat.

zaterdag 12 augustus 2023 19:19

Acties:
  • 0 Henk 'm!
  • MonoKid
  • Registratie: December 2008
  • Laatst online: 01-06 02:53

MonoKid

Topicstarter
Bedankt iedereen voor de nuchtere reacties. No offense taken, ik ben me bewust van de leemte in mijn kennis :)
De vraag komt eenvoudigweg voorts uit de noodzaak naar onze klanten toe. We krijgen vaak de vraag "jullie zijn toch onze IT'er, jullie plaatsen hardware x en software y, dan kan je ons toch ook vertellen of we met die dingen gdpr compliant zijn?"

Het punt rond onafhankelijkheid leek ik me inderdaad een voor de hand liggend issue. We kunnen niet én software leveren én die achteraf gaan beoordelen. Ik heb ook geen zin om met goedbedoeld advies, achteraf schade te berokkenen aan de klant, m'n werkgever en vooral mezelf. Het boeit me eerlijk gezegd ook niet zo hard. Ik denk dat ik m'n antwoord heb :)

zaterdag 12 augustus 2023 21:11

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Wat @bw_van_manen aangaf blijft overigens wel gelden: advies geven, over zaken waar je verstand van hebt, is prima. Maar dan zonder de FG te zijn.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq