De data-beschermingsregels GDPR van de EU brengen privacyplichten én nieuwe banen. Dit is de discussie-stelling die Computable-lezers vandaag krijgen voorgelegd.
De GDPR (General Data Protection Regulation), in Nederland bekend als AVG (Algemene Verordening Gegevensbescherming), houdt de gemoederen in ict-land flink bezig. Het aankomende pakket EU-regels voor betere bewaking van data (en daarmee betere beveiliging van privacy) heeft flinke gevolgen. Zo brengt het strengere plichten, hogere boetes, en veel werk. Een deel van dat werk is een ict-kwestie, een deel is een bestuurskwestie. Voor beide gebieden geldt dat de GDPR ook voor nieuwe banen zorgt.
Ja, bepaalde sectoren, bedrijven en organisaties zullen het meerwerk van de GDPR afwentelen op huidige bezetting. Mogelijk onder motto’s als: doe meer met minder, werk slimmer en niet harder.
Maar de EU-regels vereisen ook specifiek de aanstelling van een data protection officer (dpo), wat in het Nederlands een functionaris voor de gegevensbescherming (fg) heet. De Franse privacy-waakhond CNIL heeft ingeschat dat dat land zo’n 18.000 dpo’s zal moeten hebben van de GDPR. In totaal zijn er volgens branchevereniging IAPP (International Association of Privacy Professionals) zo’n 75.000 dpo’s nodig. De GDPR helpt dus security, privacy én werkgelegenheid.
Wat vind jij?
Privacy gaat over juridische, ethische, technische en oganisatoriche vraagstukken.
Wil een DPO toezicht kunnen houden en de regie kunnen voeren, dan moet je over een grote dosis ervaring beschikken.
Dat lukt niet op de wijze waarop men zich nu op de vraag(behoefte)zijde het opleidingsvraaggstuk stort.
Voor het privacy aspect is met ingang van mei 2018 veel meer nodig, omdat bijvoorbeeld privacy by design en default verplichte kost is. En dat red je niet met vers opgeleide DPO’s zoals wordt aangekondigd op o.a. de volgende site:
http://privacyacademie.nl/scholingsvoucher
Of zie ik iets over het hoofd?
Een DPO is bij voorkeur een professionele adviseur met juridische achtergrond en affiniteit met ICT.
@tonderoos
Ton, dat lijkt mij erg kort door de bocht., gezien het navolgende:
Bron Autoriteit Persoonsgegevens: Richtlijnen voor functionarissen voor de gegevensbescherming (FG’s) (vertaling van de Europese richtlijn).
———————————————————————————————————————————-
Vermogen zijn taken te vervullen
Het vermogen de taken te vervullen die bij de positie van FG horen moet worden opgevat als persoonlijke kwaliteiten en kennis van de FG, maar heeft ook te maken met de positie van de FG binnen de organisatie. Belangrijke persoonlijke kwaliteiten zijn bijvoorbeeld integriteit en professionele ethiek; de belangrijkste taak van de FG is te zorgen dat de AVG nageleefd wordt. De FG speelt een belangrijke rol in het creëren van een gegevensbeschermingscultuur binnen de organisatie. Ook helpt de FG met de implementatie van essentiële elementen van de AVG, zoals 1) de beginselen van gegevensverwerking, de rechten van de betrokkenen, privacy by design en privacy by default, de administratie van gegevensverwerkingen, beveiliging van het verwerkingsproces en melding van en communicatie over datalekken.
——————————————————————————-
Een FG wordt geconfronteerd met ethische (o.a. Governance en Risk Management), juridische, organisatorische en technische vraagstukken/problemen.
Artikel 13 van de Wbp bezorgd nu al diverse FG’s de nodige hoofdpijn. Laat staan met wat daar in het kader van de AVG nog bijkomt.
De opmerking ”Een DPO is bij voorkeur een professionele adviseur met juridische achtergrond en affiniteit met ICT” is redelijk misleidend. En geeft aan dat de rol en de verantwoordelijkheid onderschat wordt.
* Voor Google en Microsoft achtige bedrijven zijn door de wol geverfde juristen op zijn plaats.
* Voor al die andere organisaties (overheid EN bedrijfsleven) zijn professionals nodig, met veel inhoudelijke bagage, om privacy op een fundament van goed geregelde security als onderdeel van een goed ingerichte PDCA cyclus.
En volgens mij dus niet “een professionele adviseur met juridische achtergrond en affiniteit met ICT”!
N.B. En dat zeker tegen een redelijk hoog (juridisch) tarief?
We gaan mooi proberen geld te verdienen aan deze wetgeving maar het is natuurlijk weer bureaucratische troep. Het kan geen onderscheid maken tussen situaties waarin privacy en security van cruciaal belang zijn en situaties waarin geen van de betrokken partijen dat ook maar een bal interesseert. Zorg liever voor goede aansprakelijkheidswetgeving en zorg dat het geen papieren tijger meer is doordat de uitoefening ervan weer eens aan alle kanten faalt. Laat overheden en private partijen betalen voor goede security als dat nodig is (ook tegen aansprakelijkheid) en val partijen er niet mee lastig als het maar van relatief belang is. En voorkom dat je weer een zoveelste falend apparaat gaat optuigen. Dit wordt weer een hele kermis met stakeholders, subsidietrajecten en andere ellende. We hebben als samenleving echt wel wat beters te doen.
@Rob Koelmans | 8 augustus 2017 14:20
Ik ben het volledig met je eens. De GDPR is een feestje voor juristen en anderen die deze regelgeving moeten gaan handhaven. De getroffen consument en burger blijven volledig buiten de scope. Het is een bureaucratisch monster dat gedoemd is om te worden achterhaald door de voortschrijdende techniek.