LEES
Risk & Compliance Case

privacy uitdagingen bij een internationale bank: DPO & de voordelen van uitbesteding 

De uitdaging

  • Een internationale bank moest zijn Data Protection Officer (tweede lijn) vervangen.
  • De bank beschikte ook niet over een Privacy Officer (eerste lijn).
  • Deze functies zijn moeilijk in te vullen omdat ze specifiek legal en organisatorisch inzicht vereisen.
  • In het geval van deze internationale bank voegde het mondiale aspect nog een extra laag aan complexiteit toe.


Onze aanpak

  • Eerste beoordeling van het niveau van compliance met de privacy wetgeving door middel van een quick scan.
  • Privacy awareness onder werknemers verbeteren om de kans op data lekken of inbreuken te verkleinen.
  • De impact van de afwezigheid van een Privacy Officer beperken.
  • Nieuwe producten evalueren en voer risk analyses uitvoeren.


Belangrijkste resultaten

  • De bank is verzekerd van zijn compliance met privacywetgeving.
  • Dankzij een efficiënte risicobeoordeling kan de bank met vertrouwen nieuwe producten introduceren en tegelijkertijd voldoen aan de wetgeving voor de bescherming van data en privacy.
  • Door onze aanwezigheid op locatie en flexibele planning zijn we gemakkelijk bereikbaar voor de klant wanneer dat nodig is.
  • De toegevoegde waarde van een externe DPO is een grotere onafhankelijkheid, uitgebreide praktische ervaring en een holistische aanpak.
  • Naarmate de externe DPO de organisatie beter leert kennen, neemt zijn vermogen om effectief mee te denken met de business toe.
Datum:9 december 2022

Geconfronteerd met de uitdaging om haar interne Data Protection Officer (DPO) te vervangen, wendde onze klant - een filiaal van een internationale bank gespecialiseerd in hypotheken - zich tot ons voor ondersteuning. We begonnen met een eerste beoordeling om de situatie in kaart te brengen en sindsdien zorgen we ervoor dat de bank blijvend voldoet aan de AVG. Omdat onafhankelijkheid een cruciaal onderdeel is van de rol van de DPO, is het altijd een goed idee om deze belangrijke taak uit te besteden aan een externe partij, zoals Projective Group. 

Een uniek profiel voor een unieke rol 

Onze klant is een filiaal van een internationale bank die gespecialiseerd is in hypotheken en van plan is zijn diensten uit te breiden met vermogensbeheer. Toen ze plotseling werden geconfronteerd met het verlies van zowel hun interne Functionaris Gegevensbescherming (FG) als hun Privacy Officer (PO), wisten ze niet wat ze moesten doen. Hoe vervang je iemand met zo'n ingewikkelde verantwoordelijkheid om zowel de activiteiten van de organisatie als de complexiteit van privacy wet- en regelgeving te begrijpen?  

Omdat Projective Group een langdurige relatie heeft met deze klant, en we eerder met hen hebben samengewerkt aan verschillende compliance gerelateerde projecten, wendden ze zich tot ons. "De ideale DPO moet uitgebreide juridische kennis kunnen combineren met praktisch inzicht in de activiteiten van de organisatie. Hij of zij moet ervoor zorgen dat het privacybeleid naadloos aansluit op de dagelijkse werkzaamheden," zegt Eric, die deze uitdaging is aangegaan. 

De ideale DPO moet uitgebreide kennis op legal combineren met praktisch inzicht in de activiteiten van de organisatie.

Eric de Vries, Externe Fuctionarig Gegevensbescherming 

Van een quick scan tot blijvende resultaten 

Zoals altijd was het eerste wat we deden een quick scan van het niveau van compliance met privacy wetgeving. We controleerden of het beleid, de processen, de website, documenten, privacy verklaring enz. in overeenstemming waren met de wettelijke vereisten vanuit de AVG. Deze basisbeoordeling is cruciaal om onze aanbevelingen te rechtvaardigen en gebieden voor verbetering te identificeren.  

Een van de dingen die uit deze scan naar voren kwam, was de behoefte aan meer privacy awareness onder medewerkers. "Een van de dingen waar we allemaal over hebben gehoord als het gaat om privacy, is data lekken. De meeste lekken worden veroorzaakt door werknemers - niet met kwade bedoelingen, maar per ongeluk. Een document achterlaten in de trein, per ongeluk een e-mail doorsturen naar iemand die de inhoud niet mag zien.... Door awareness van deze risico's te verbeteren, wordt de kans op data inbreuken aanzienlijk verkleind," zegt Eric de Vries. 

De meeste datalekken worden veroorzaakt door werknemers - niet met kwade bedoelingen, maar per ongeluk. Het verbeteren van privacy awareness vermindert de kans op data inbreuken aanzienlijk. 

Eric de Vries, Externe Fuctionarig Gegevensbescherming

Het belang van onafhankelijkheid 

Of het nu gaat om een risicobeoordeling, een data privacy impactanalyse, regelmatige bijeenkomsten met stakeholders of het signaleren van kritieke privacy- en data beschermingskwesties, de DPO moet altijd vrij zijn van druk van bovenaf of belangenverstrengeling. Onafhankelijkheid is een fundamenteel onderdeel van de rol van de Functionaris Gegevensbescherming. Daarom kan het beter zijn om deze functie uit te besteden aan een externe partij die niet alleen onafhankelijk is, maar ook uitgebreide praktische ervaring en een holistische visie meebrengt.

"Een goede DPO zorgt ervoor dat je de risico's hebt afgedekt, maar zal tegelijkertijd niet tegen alle projecten nee zeggen omdat ze te risicovol zijn. Je hebt iemand nodig die onafhankelijk en ervaren is en de ins en outs van de organisatie kent," zegt Eric. "Het voordeel van externe DPO's is dat ze snel inzetbaar zijn, maar ook betrokken kunnen blijven voor een langdurige samenwerking. Hoe beter ze de processen van de organisatie leren kennen, hoe beter ze kunnen meedenken met de organisatie over effectieve oplossingen en mogelijkheden." 

Eric is twee dagen per week beschikbaar voor de klant, maar zijn agenda is flexibel als er dringende problemen zijn, zoals een lekkage op data . U hoeft zich dus geen zorgen te maken over de beschikbaarheid, zelfs niet met een externe DPO. 

Tenslotte 

In een wereld waarin de regels rondom data privacy voortdurend veranderen, is het hebben van een betrouwbare en flexibele Data Protection Officer een strategisch voordeel, zelfs als een organisatie daar wettelijk niet toe verplicht is (want dat geldt niet voor alle bedrijven). Er zijn veel voordelen verbonden aan het inhuren van een externe DPO, van een grotere onafhankelijkheid tot een brede kennis van wet- en regelgeving in verschillende branches en inzicht in praktische implementatie.  

Ben je op zoek naar een DPO om flexibel in te huren? Voor een samenwerking op korte of lange termijn? Onze privacy consultants zijn vakkundig en ervaren en kunnen de functie van DPO op een praktische en professionele manier invullen, maar ook ondersteuning bieden aan een intern privacy team. 

Over Projective Group

Projective Group is opgericht in 2006 en is een toonaangevende veranderspecialist voor de financiële sector. Met diepgaande expertise op practices in Data, Payments, Transformatie en Risk & Compliance.

We worden binnen de sector erkend als een provider van complete oplossingen, die samenwerkt met klanten in de financiële dienstverlening om oplossingen te bieden die zowel holistisch als pragmatisch zijn. We hebben ons ontwikkeld tot een betrouwbare partner voor bedrijven die willen gedijen en bloeien in een steeds veranderend landschap van financiële dienstverlening.