Met de komst van de Europese privacyverordening (25 mei 2018) klinkt de roep om privacy officers. Voor het uitoefenen van deze functie strekt een juridische achtergrond tot aanbeveling. Nu nog meer it-inzicht en -kennis.
Privacy officer (po) worden en zijn, is niet moeilijk. Aangewezen worden, daar waar de behoefte er is (al dan niet wettelijk afgedwongen), dat is de crux. Soms zal dat contrecoeur zijn; de positie heeft niet overal voldoende status om enthousiaste, concurrerende kandidaten te trekken. Want laten we wel wezen, het takenpakket van de po is zeer veelomvattend en tijdrovend met aanzienlijke afbreukrisico’s. Ofwel, de kans om het niet te redden, is groot.
It-details
Soms is er wel enthousiasme. Check dan – als werkgever – wel even of de kandidaat inzicht heeft in wat wordt gevraagd. En dan niet alleen naar de letter, de bulletsgewijze taakomschrijving, maar ook naar de geest, het daadwerkelijk invulling geven aan alle gevraagde werkzaamheden tot in de technische it-details.
Deze voornamelijk tweezijdigheid blijkt ook uit de stof voor het examen voor de enige reeds enigszins gezaghebbende certificering. Deze CIPP-certificering door de IAPP (CIPP/E is specifiek voor de Europese situatie) kent een uitgebreide juridische component. Zo (b)lijkt het van groot belang te weten hoe de Europese Unie politiek en organisatorisch tot stand is gekomen en in elkaar zit.
De minder belangrijke, tweede helft gaat over it, waarbij een flinke dosis zeer-basiskennis overheerst met her en der beweringen die nuance behoeven of zelfs gewoon tekortschieten of onjuist zijn. Soit, kennelijk.
De vele, vele privacy-cursussen en -seminars die de laatste maanden uit de grond schieten – het lijkt wel lente in die markt – doen het wat dat betreft niet beter. Wie white papers, reference guides en wetsteksten kan lezen, kan op eigen gelegenheid minstens zo veel kennis opdoen.
Karakter
Qua algemene karaktertrekken zal de po vooral vasthoudendheid moeten tonen. Vasthoudendheid, niet om te blijven vragen naar de onmogelijke wegen die door net-wat of veel te weinig begrip van de it-details nou juist de aangewezen privacy-implementatie niet zijn. Maar vasthoudendheid om door de vele organisatie-bureaucratische uitvluchten en ontwijkingsgedrag te breken en daadwerkelijk oplossingen te realiseren voor tekortkomingen in de privacy-positie van de organisatie.
Daarnaast zijn empathie en communicatieve vaardigheden van belang. Niet om een vlot praatje te kunnen geven richting toezichthouders en pers; daar wordt gemakkelijk doorheen geprikt en dan is de organisatie nog verder van huis. Maar om de worsteling te kunnen begrijpen van degenen die uitvoerende taken hebben in de implementatie en uitvoering geven aan privacy-verbeterende maatregelen. Dat zijn mensen met hart voor hun respectievelijke vak, die in hun eigen taal en problematiek moeten worden aangesproken en erkend.
GRC
Velen die po zijn geworden, of dit overwegen, komen uit, laten we zeggen, de juridisch-angehauchte governance, risk management and compliance (GRC)-hoek. Dit heeft voordelen. Zo zal een po overweg moeten kunnen met juridische dialectiek en lijkt het een pluspunt om ‘niet alle technische details te kennen’; kenmerken van diegenen die gewend zijn vanuit regelgeving-perspectief toezicht te houden.
Maar hierin liggen ook de grote nadelen. Deze categorie employees – medewerkers klinkt zo blauwe-boord – zijn niet (sic) gewend te denken in termen van het daadwerkelijk oplossen van problemen. ‘It-kennis en -inzicht zijn toch immers voor de kolenstokers?’ De engineering-mindset is vaak minder goed ontwikkeld, om het zacht uit te drukken.
Vandaar: de meesten komen (nog!) uit de juridische hoek, maar er is niets op tegen om, met kennis en inzicht in het juridisch jargon, vanuit andere disciplines in te stromen. Men zou wensen dat er véél meer it’ers instromen in de po-wereld!
Vanzelfsprekend. Maar er zijn dan ook *drie* relevante certificeringen:
# CIPP/E (Certified Information Privacy Professional/Europe); focussed op het de juridisch-inhhoudelijke aspecten van de Europese GDPR-kader en specifieke wet- en regelgeving
# CIPM (Certified Information Privacy Manager); focusssed op organisationele aspecten
# CIPT (Certified Information Privacy Technologist); focussed op de technisch-inhoudelijke aspecten
Vanzelfsprekend, maar gezien de fouten (sic) en tekortschietend perspectief in de IT-delen van de stof bij die certificeringen, moet het gebruik ervan worden afgeraden…
Uiteraard zit er een verschil tussen een MKB bedrijf tot zeg 600 mensen en grote bedrijven.
Maar laten we van handhaven van privacy en verwerking persoonsgegevens niet een academische discussie maken die dan ook nog een zwaartepunt heeft met het juridische. Dat helpt niemand en creëert dalijk een soort elite laag die geen draagvlak krijgt in de organisatie zelf.
De verantwoordelijkheid dragen van het ontvangen en verwerken van persoonsgegevens moet simpel zijn. Down to earth en nog meer als een bewustwording met dito gedrag, dan het vaststellen van de regeltjes en juridische juistheid.
Als we echt ons gaan richten op de certificering en de formaliteiten missen we in mijn ogen het doel. Natuurlijk is certificering belangrijk, maar laten we daar geen zwaartepunt van maken. Dat leidt dalijk tot een tulpenmanie met uurtarieven van DPO’s die niet realistisch zijn en extern ingekocht moeten worden.