Slechts een zeer klein aantal bedrijven in ons land is op zoek naar een data protection officer (dpo). Dit, terwijl het aanstellen van een databeschermer vanaf 25 mei 2018, wanneer de Algemene Verordening Persoonsgegevens (AVG) ingaat, verplicht is voor een groot aantal bedrijven.
Dit blijkt uit onderzoek van vacaturesite Joblift. Uit hun analyse blijkt dat de zoektocht naar data protection officers (dpo’s) pas de afgelopen drie maanden echt op gang is gekomen. Ondanks een vervijfvoudiging ten opzichte van 2016 wacht het grootste deel van de organisaties nog met het aantrekken van een databeschermer: het aantal uitgeschreven vacatures valt in het niet bij het aantal bedrijven dat verwacht een dpo nodig te hebben. Ook overheidsorganisaties hebben geen haast: van de 388 gemeenten in Nederland schreven er de afgelopen drie jaar slechts 25 een of meerder dpo-vacatures uit.
Bedrijven tasten in duister
Een woordvoerder van Joblift geeft aan dat het onduidelijk is welke bedrijven nu verplicht zijn om een data protection officer aan te stellen. ‘Veel organisaties tasten in het duister. In eerste instantie gold de verplichting voor bedrijven met meer dan 250 medewerkers, maar dat is weer gewijzigd. Nu zijn het vooral instellingen en organisaties die met persoonsgegevens werken die een dpo in dienst moeten nemen. Ict-bedrijven en publieke instanties vallen hier in onze opinie zeker wel onder. Maar uiteindelijk wordt het in de wet in het midden gelaten.’
Ook geeft hij aan dat er een rode lijn te vinden is in waar een dpo aan moet voldoen. ’52 procent van de functies vereist juristen; in 23 procent van de vacatures wordt hier een minimumeis van vijf tot acht jaar ervaring aan toegevoegd. Zo’n 8 procent geeft de voorkeur aan personen met een studie bedrijfskunde, met een specialisatie in rechten of fiscaal beleid. De 76 procent van de dpo-vacatures die juridische professionals vragen, vereisen ook een specialisatie in wetgeving rondom nieuwe technologieën of een opleiding in de bescherming van persoonsgegevens. Tot slot vraagt 22 procent om een master in Europees recht.’ Ook gaat de woordvoerder in op het feit dat er tot nu toe in verhouding zo weinig dpo’s worden gezocht. ‘Het zou goed kunnen dat de vacatures bij veel bedrijven intern worden ingevuld. Wel zien we de afgelopen drie maanden een enorme stijging, dus de bedrijven die wel extern op zoek gaan naar een databeschermer, zijn daar nu echt mee begonnen.’
Vacatures eenvoudig in te vullen
Dit jaar werden er 755 vacatures voor dpo’s uitgeschreven. Een stijging ten opzichte van de twee jaar daarvoor, toen er in het totaal maar 206 vacatures werden uitgeschreven. Ook dit jaar waren de verschillen echter groot. Sinds september werden maar liefst 440 vacatures uitgeschreven: ruim meer dan de helft van het totaalaantal vacatures dit jaar. Ondanks dat het aantal vacatures dit jaar meer dan vijf keer zo groot was als de 142 vacatures in 2016, vinden bedrijven opvallend makkelijk een geschikte kandidaat: dpo-vacatures stonden gemiddeld slechts vijftien dagen open, tien dagen korter dan het gemiddelde van alle vacatures op de Nederlandse markt.
Aangenomen dat de snelle stijging in het vacatureaanbod aantoont dat een groot deel van de bedrijven extern naar een databeschermer opzoek gaan, lijkt het overgrote deel van de Nederlandse bedrijven desondanks te wachten met het aanstellen van een beschermer van hun bedrijfsdata. Uit een inventarisatie van Nederland ICT blijkt dat 44 procent van de ict-bedrijven verwacht een dpo te moeten aanstellen om aan de nieuwe wetgeving te voldoen. Met de 72.000 ict-bedrijven die Nederland volgens het CBS eind 2016 telde, zijn de 967 vacatures die sinds 2015 door 557 organisaties werden uitgeschreven dus bij lange na niet genoeg: dpo’s zullen de bedrijven de komende maanden voor het uitzoeken hebben. Ook organisaties in de publieke sector lijken nog geen haast te maken: van de 388 gemeenten in Nederland waren er sinds januari 2015 slechts 25 opzoek naar een dpo.
” Ict-bedrijven en publieke instanties vallen hier in onze opinie zeker wel onder”. Voor publieke instanties is dit geen opinie, dit staat letterlijk vermeld in de AVG (GPR). De invulling voor bedrijven is inderdaad wat meer subjectief te bekijken.
“AVG stelt vanaf 25 mei 2018 aanstellen databeschermer verplicht”.
Nee, de AVG stelt de DPO nú al verplicht, per 25 mei 2018 wordt hier op gehandhaafd.
Voor de AP is het per die datum dus eenvoudig boetes uitschrijven. Niet dat dit zal gebeuren, maar daarop lijkt ook iedereen – Hollands-zûnig – te anticiperen. ‘Even kijken of we er op een koopje vanaf kunnen komen’.
Daarbij rol en betekenis van de DPO bij de huidige implementatie-periode volstrekt negerend.
Het feit dat de accountable bestuurders niet of nauwelijk hoofdelijk aansprakelijk zijn voor evt. boetes is daarbij allesverklarend. ‘Clawback’ van bonussen zal uiteraard not done zijn.