“Binnen het Havenbedrijf waren we natuurlijk al veel langer bezig met GDPR en alles wat daarbij komt kijken”, steekt data governance analyst en DPO Sarah Sak van wal. “Maar, toen de beslissing viel om te fuseren met Zeebrugge, besloten we toch om hulp en expertise van buitenaf in te roepen, want een dergelijke operatie heeft impact op alle geledingen van de organisatie: IT, hr, financiën en marcom, maar ook innovatie en technische vernieuwing, enzovoort. Ondanks de kennis en ervaring die we de afgelopen jaren in-house opgebouwd hebben, zou het ons daardoor niet gelukt zijn om dit alles alleen tot een goed einde te brengen. Het integreren van de verwerkingsregisters persoonsgegevens alleen al was bijvoorbeeld een enorme opgave.”
CRANIUM, beste uit de test.
En dus werd er, gezien het Havenbedrijf een overheidsorganisatie is, een aanbesteding uitgeschreven. Daarbij kwam CRANIUM als sterkste uit de bus, na een uitgebreide evaluatie waarbij zowel naar kwaliteit, referenties als prijs gekeken werd.
“Enkele jaren geleden, toen de GDPR van kracht werd, deden we voor een privacyscan al eens een beroep op CRANIUM, nadat ze ook toen de sterkste kandidaat bleken. Dat verliep erg goed, in wisselwerking met zowel onze CISO, het Cyber Resilience- als GDPR-team, en dus waren we erg blij opnieuw met hen te kunnen samenwerken”, vult Shauni Willems, juriste en DPO bij het Havenbedrijf, aan. “De prijs was daarbij een belangrijke factor, maar dat was zeker niet de enige factor: in hun dossier gingen ze ook zeer goed in op onze specifieke noden. Het plaatje klopte op alle vlakken.”
Structureel partnerschap en extern verlengstuk
Het GDPR-team van het Havenbedrijf kreeg zo versterking van twee CRANIUM-consultants, die als een extern verlengstuk van het interne GDPR-team fungeerden. Wat eerst begon als een projectmatige samenwerking groeide mettertijd organisch uit tot een structureel partnerschap, waarbij beide partijen er samen op toezien dat alle mogelijke gegevensverwerkingen binnen de dagelijkse werking van het Havenbedrijf volgens de regels verlopen.
“Zowel het bijstaan van de interne DPO’s bij het behandelen van adviesvragen vanuit de organisatie – bijvoorbeeld over hoe ze GDPR-conform kunnen samenwerken met externe partners en stakeholders – als er proactief op toezien dat als overheidsbedrijf de juiste protocollen voor gegevensverwerking afgesloten en gevolgd worden; awareness creëren door intern te sensibiliseren en informeren; het gegevensbeschermingsbeleid en de daaraan verbonden processen up-to-date houden; ervoor zorgen dat ze ook op lange termijn conform GDPR en privacy-by-design kunnen blijven functioneren; enzovoort”, vertelt Lisa De Smet, Principal Data Protection Consultant, DPO, IT/IP lawyer en Business Manager bij CRANIUM, die samen met Privacy Consultant Louis Longeval het Havenbedrijf opvolgt.
“De rol van CRANIUM daarin is tweeledig: enerzijds ontlasten ze ons door een deel van het werk over te nemen, anderzijds fungeren ze ook als klankbord bij het interpreteren van de regels. Die interpretaties kunnen variëren, bovendien staan de regels als recente vorm van wetgeving niet in steen gebeiteld. Op de hoogte zijn en blijven is dus cruciaal”, vervolgt Shauni Willems, juriste en DPO bij het Havenbedrijf.
Geloofwaardigheid en vertrouwen
Geloofwaardigheid en vertrouwen
“De grootste uitdaging als DPO, zowel intern als extern, was en is om enerzijds awareness te creëren, zichtbaar en vindbaar te zijn binnen een organisatie die zo groot is als het Havenbedrijf; en anderzijds de nodige geloofwaardigheid op te bouwen. Dat vereist openheid en inspanningen van beide partijen. De veelvuldige communicatie en terugkoppeling van de CRANIUM-consultants waren bijvoorbeeld erg belangrijk om dat vertrouwen organisch te laten groeien, en hebben ervoor gezorgd dat we in onze samenwerking zijn uitgegroeid tot een goed geoliede machine. Het Havenbedrijf is dus een zeer tevreden klant”, besluit Sarah Sak, data governance analyst en DPO bij het Havenbedrijf.