Met de komst van de Europese privacyverordening vanaf volgend jaar wordt de privacy officer (po) steeds belangrijker. Over welke karaktereigenschappen moet je beschikken om een succesvolle po te zijn? En vanuit welke discipline kun je deze functie het best bekleden? Computable vroeg het zijn juridische experts Arnoud Engelfriet, partner bij adviesbureau ICTRecht, en Marjolijn Hoevenaars, advocaat bij De Gier | Stam & Advocaten.
Een po is iemand die toeziet op de omgang met persoonsgegevens binnen de organisatie en controleert of de organisatie voldoet aan de wet en eventuele andere toepasselijke regelgeving. ‘Het is geen wettelijk beschermd beroep, dus iedereen kan benoemd worden tot po’, vertelt Hoevenaars. ‘Het is natuurlijk wel verstandig om een opleiding te volgen. Hiervoor zijn er meerdere op de markt die nogal verschillen op inhoud en kwaliteit.’
Engelfriet wijdt het verschil in opleidingen aan het feit dat de wet geen specifieke vooropleiding voorschrijft. ‘Een po moet bijzondere kennis bezitten over privacy en persoonsgegevens. Daarnaast moet hij of zij in staat zijn om een organisatie te controleren en op te voeden op deze gebieden. Dat vereist dus zowel juridische als zakelijke kennis van zaken.’
Overtuigingskracht
Welke karaktereigenschappen zijn nodig om deze functie succesvol uit te voeren? Volgens Engelfriet moet de persoon goed kunnen schakelen in de organisatie en moet hij of zij knopen durven doorhakken. ‘Een po die alleen enkel dingen tegenhoudt, of alles heel juridisch-theoretisch benadert, zal snel alleen komen te staan of wordt gepasseerd. Actief meedenken en oplossingen aandragen zijn belangrijke eigenschappen.’
Hoevenaars meent dat de po daarnaast een vertaalslag moet maken van wet- en regelgeving naar de praktijk. ‘Daarom moet hij/zij analytisch sterk en probleemoplossend zijn ingesteld. Bedrijfsafdelingen en managers uit alle lagen moeten de noodzaak inzien van het instellen en naleven van protocollen. De privacy-expert moet met die afdelingen en managers samenwerken om tot werkbare oplossingen in de praktijk te komen. Overtuigingskracht, doorzettingsvermogen en diplomatie zijn dus ook belangrijke eigenschappen.’
It’er of jurist?
De meest voor de hand liggende disciplines waaruit po’s doorstromen, zijn it (informatiebeveiliging), rechten (privacyrecht) en eventueel bedrijfskunde. Volgens Engelfriet is de vooropleiding niet relevant, maar hij vindt juridische kennis op hbo- of wo-niveau veel belangrijker. ‘Daarnaast is een ruime ervaring binnen het bedrijfsleven een vereiste.’
Ook Jurgen van der Vlugt, ceo bij Maverisk, ziet dat vaak mensen met kennis en inzicht in het juridisch jargon de functie van po bekleden. Dit heeft in zijn ogen wel voordelen, omdat een po overweg moet kunnen met juridische dialectiek. Echter zou het volgens hem geen kwaad kunnen als mensen vanuit een andere disciplines instromen, en dan met name it’ers. ‘Mensen met een juridische achtergrond kennen vaak niet alle technische details. De engineering-mindset is vaak minder goed ontwikkeld, om het zacht uit te drukken. It-kennis en -inzicht zijn toch immers voor de kolenstokers? Men zou wensen dat er véél meer it’ers instromen in de po-wereld!’
Functionaris voor Gegevensbescherming
De Algemene Verordening Gegevensbescherming (AVG), die in mei 2018 in werking treedt, geeft eisen voor een privacy officer; ofwel de functionaris voor gegevensbescherming (fg).
- Hij of zij moet professioneel en deskundig zijn op het gebied van wetgeving en de praktijk inzake gegevensbescherming. Hij/zij heeft volgens de AVG bepaalde taken;
- Hij of zij moet de organisatie informeren en adviseren over hun verplichtingen op het gebied van privacyrecht;
- Hij of zij moet het personeel bewust maken en op te leiden op het gebied van privacy;
- Hij of zij moet waar nodig met de toezichthoudende autoriteit samenwerken
De fg geniet dezelfde ontslagbescherming als leden van een ondernemingsraad. De fg is (nog) geen wettelijke beschermd beroep met opgestelde beroepseisen. Er is wel een internationale vakvereniging voor privacyprofessionals: de IAPP.
De aan de DPOs gestelde eisen/voorwaarden gaan toch écht wat dieper.
Zie o.a. :
# de publicaties van de Art.29 Werkgroep (WP29)
– Guidelines on Data Protection Officers (‘DPOs’) – 16/EN WP 243 – 13 december 2016
– WP243 Annex – Guidelines FAQ – wp243_annex_en_40856
# de publicaties van de AP
– Richtlijnen voor functionarissen voor de gegevensbescherming (FG’s)
# CIPL GDPR Project DPO Paper, November 17, 2016
Maar zie vooral de vele publicaties op de IAPP-website : https://iapp.org
“De fg geniet dezelfde ontslagbescherming als leden van een ondernemingsraad”
zoals het er naar uit ziet denk ik niet dat veel fg’s in dienst zullen treden, maar vooral extern aangetrokken worden.
Ik geloof meer in een pragmatische aanpak dan een juridisch / procedurele aanpak.
Door dit soort functionarissen extern te betrekken kan elk advies de prullenbak in.
Is het een te lastige tante of ventje, kan ie weg.
Organisaties (zowel commerciele, non-profit als overheden) schieten altijd in een Pavlov-reactie als iemand “roet in eten komt gooien”. Normaal menselijke eigenschap.
Ik geloof absoluut niet in zelfregulering (slager die zijn eigen vlees keurt).
Wettelijk afdwingen werkt ook niet, want dan wordt alles gejuridificeerd en krijgen we schijnoplossingen.
Oplossing in het compartimenteren van privacy gevoelige data (systeemdiscussie, gaat lang duren) en natuurlijk de altijd bestaande cultuurveranderingen (duurt nog langer). Overigens moeten we ook eens definiëren wat privacy inbreuken nu eigenlijk echt zijn, want we schieten vaak wel erg door.
Dat laatste klinkt natuurlijk héél stoer, maar is onwerkbaar en kan je als Opdrachtgever letterlijk héél duur te staan komen.
Daarvan zijn de voorbeelden legio.
Dat de FG dezelfde ontslagbescherming heeft als leden van een ondernemingsraad is cf. de WBP en vereist een gang naar de Kantonrechter.
Art. 38 lid 3 GDPR spreekt overigens koeltjes van “Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken.”
Je kunt er dus vanuit gaan dat de ruimere bescherming geldt. Dat zal voor ingehuurde DPO’s dus inhouden dat men gedurende de afgesproken looptijd van de dienstverleningsovereenkomst niet ontslagen kan worden, cq. een ontslagvergoeding zal krijgen overeenkomstig de resterende looptijd.
Dat is juridisch /procedureel. Niet pragmatisch want de opdrachtgever wordt geconfronteerd met een herstart van het compliance-traject.
De Opdrachtgever zal dus ernstig op zijn/haar tellen moeten passen, zowel bij de inhuur/aanstelling als bij het vervolg. Cowboygedrag en verkeerde zuinigheid zijn funest.
Dat is heel pragmatisch, want de sancties vallen bij de Opdrachtgever.
Ik zou niet weten waarom een FG een bepaalde ontslagbescherming zou moeten genieten. Dat is een zaak uiteindelijk van de betreffende organisatie zelf. Het is een beetje hetzelfde voor de ’teneur’ van dit artikel. Bel ons en wij helpen u uiteraard en graag van dit probleem af.
Overigens wordt er een uitdaging terecht gesteld. Wordt het een jurist of een it’er?
Volgens mij hoef je het niet per definitie zo hoog in de boom te zoeken. Immers, niet elke organisatie zal in het bezit zijn van een juridische afdeling of een eigen it-organisatie. Die ‘groten’ die zoeken het zelf wel uit. Interessanter lijkt mij de ontwikkeling voor de wat kleinere organisatie en het MKB.
Zij krijgen natuurlijk op dezelfde merite met deze materie te maken en dan is het wel heel erg interessant hoe daarmee om te gaan. Ik zie hier voor de hbo it-professional wel iets moois aan komen.
@Rene : die ontslagbescherming héb je als DPO dus gewoon. Al zie ik wel wat haken en ogen in de uitvoering.
Bovendien kan ik mij al snel heel wat goede redenen bedenken voor een dergelijke bescherming. Enfin, irrelevant dus.
Dat de DPO een behoorlijk stevige juridische achtergrond dient te hebben blijkt uit de létterlijk aan de functie gestelde eisen. Niks “of”.
Dat de DPO daarnaast enig benul dient te hebben van IT, van de relevante business processen en daarmee samenhangende informatiestromen en wet-/regelgeving is ook vastgelegd, o.a. in de richtlijnen van de Art.2-werkgroep.
Persoonlijke capaciteiten en vaardigheden staan echter voorop voor de taakuitvoering. Ook dát is vastgelegd.
Ik denk dat een ‘kort-door-de-bocht-ideaalplaatje’ is : iemand met een bestuurlijk-juridische achtergrond op HBO-niveau, met aanvullende vaardigheden op Foundation-niveau (in ieder geval Prince2, MoR en ITIL, en daarnaast evt. ASL BiSL, ReqMan, TMap) en met duidelijke structurerende en coördinerende vaardigheden.
Iemand dus die geen SME is, maar wél weet op welke verantwoordelijke deurtjes geklopt moet worden en zich daarbij niet met een kluitje in het riet laat sturen, en daarbij in staat is te functioneren op operationeel, tactisch en vooral strategisch niveau en daar tegengas te geven.
Idealiter van buiten de eigen organisatie, en het is uitdrukkelijk *niet* iets dat je ‘er even bij doet’.
Hoe dichter de DPO tegen dit ideaalplaatje aan zit hoe beter.
Die mensen zijn er, wat *deugdelijke* trainingen doet de rest.
@PJ Westerhof
Ik zie dat nog steeds niet, die ontslagbescherming, met mijn bescheiden kennis als expat bij multinationals. Daar zie je gewoon dat je in een bepaalde rol, op een bepaalde positie, met uiteraard proces en keten kennis, heel goed kan functioneren. Daar is ook geen enkele ‘ontslagbescherming’ een zaak geweest.
Waar wel op is gestaan, naast een gedegen kennis van, in dit geval beide vlakken, iets wat je zeker door studie kunt bereiken, komend uit één van de twee vlakken. Ik vind het onzin dat je iets zou moeten weten van een Prince, Tmap of een Itil. Ik kan me wel weer voorstellen dat een organisatie eisen oplegt aan de IT dienstverleners en de individuele onderhouders die met verschillende materie onderdelen te maken hebben.
Ook een dergelijk stap is weer niet vreemd aangezien die bij multinationals worden toegepast maar ook bij overheid. Er zijn dus verschillende (non) commerciële mogelijkheden.
Ik denk dat het uiteindelijk aan de betrokken organisatie zal zijn te bepalen hoe vorm en kleur aan een FG of DPO te geven, uiteraard als men dat opportuun acht. Het hier vandaan beziend denk ik niet dat IT dienstverleners erg zullen staan te springen in dit ‘gat’ te springen vandaar mijn stelling dat ik dit weer wel een opportuniteit vind voor mensen die al met ‘snijvlakken’ te maken hebben gehad.
Uiteindelijk, ben ik bang, zal dit wel weer zo’n ‘pion post’ kunnen worden en juist daar zou je voor moeten waken door juridisch toch wat vollediger te moeten zijn. Dat aspect mis ik namelijk een beetje in het hele verhaal.
Wie ben ik…
Tja, dáár hebben we het woordje. ‘Opportuun’.
Voor de verantwoordelijken is het niet ‘opportuun’. Dat is het al 30 jaar niet.
En nu móet er plotseling iets gebeuren, met nog 13 maanden te gaan.
Dan zul je dus een programma-achtige aanpak moeten hanteren (MSP of P2), risico’s en risico-eigenaren gaan benoemen (MoR), het systeemlandschap in beeld brengen en daar technische ingrepen op laten doen (ITIL), en de resultaten van de nieuwe werkwijzen en technieken moeten testen (TMap).
En dan heb ik het nog niet eens gehad over de outsourcingscontracten en het ‘Kopietje Paspoort’.
En zo’n DPO krijgt dan te maken met mensen die het niet zo ‘opportuun’ vinden, en duur, en lastig, en tijdrovend, en vervelend.
En vinden dat het allemaal wel los zal lopen en dus wel een tandje minder kan.
En dat die aangestelde DPO misschien vervangen kan worden door ‘iemand die dat er even bij gaat doen’ en die wat voegzamer is.
Het heeft alle trekjes van een crisis-project, een hoog-risico-project.
Met alle politieke spelletjes die daarbij horen.
Been there, done that.
De ontslagbescherming is er dus niet voor niets, de redenen daarvoor worden expliciet benoemd in de GDPR.
Want anders zou het uiteindelijk weer aan de betrokken organisatie zijn te bepalen hoe vorm en kleur aan een FG of DPO te geven, uiteraard als men dat opportuun acht.
Zoals het dus eigenlijk al zo’n 30 jaar gaat.
Beste lezers,
De ontslagbescherming bestaat al meer dan 15 jaar. Als dit nu het belangrijkste punt is voor het aanwijzen of inhuren van een FG dan doet dit afbreuk aan de uitgangspunten. De FG moet meerwaarde bieden in het compliance zijn/worden van een organisatie. Een FG moet per definitie geen jurist zijn zoals de VNG al opmerkte in een recentelijke publicatie omdat deze vaak een verkokerde blik heeft.
De taak van de FG is adviserend en hij dient kennis te hebben van de wetgeving, beveiliging en de organisatie.
Gelukkig zijn er vele goede voorbeelden van organisaties waar FG’s de afgelopen 15 jaar ervoor gezorgd hebben dat het aantal inbreuken op het gebied van privacy zijn beperkt. Het vakgebied is sterk in ontwikkeling nu de AVG de taken van de FG heeft uitgebreid.
Indien u meer wil weten over de taken, verantwoordelijkheden en positionering van de FG verwijs ik naar de beroepsgroep NGFG die ook al 16 jaar actief is. Zij hebben vele publicaties geschreven en verzorgen netwerkbijeenkomsten waar men juist over het vakgebied in de verschillende sectoren kan communiceren.
Als Comfort-IA helpen wij organisaties om voor 25 mei 2018 AVG proef te worden door trainingen, het in kaart brengen van verwerkingen, opzetten van systemen en te voldoen aan alle verplichtingen.
Privacy is een leuk topic, maar door de schrijnende tekorten aan ict-personeel kan ik me voorstellen dat het lastig is goede privacy officers te vinden. Ook een interessante tijd om privacydeskundige te zijn, met recente introductie van aftapwet bijvoorbeeld, zoals hier omgeschreven: https://www.vpngids.nl/kenniscategorie/privacy/
Mocht ik carrièreswitch overwegen, misschien is PO wel iets 🙂