Print:

Dag van de Privacy Officer, hier komen alle disciplines samen!

Steffie Bom , Tekstschrijver

LinkedIn profiel

Het aanstellen van een privacy officer wordt vanaf 25 mei 2018 voor een groot aantal organisaties verplicht. Vrijwillig aanstellen gebeurt ook. Een privacy officer moet een duizendpoot zijn, iemand die de techniek, de organisatie en het juridische met elkaar verbindt. Het congres ‘Dag van de Privacy Officer’ draagt hieraan bij. Hoe? Aan het woord Peter van Schelven, privacy expert en dagvoorzitter.

Wie moet verplicht aanstellen?

“Momenteel geldt de verplichting tot aanstelling van een privacy officer voor slechts drie categorieën organisaties. Allereerst zijn dat de overheidsinstanties, met uitzondering van gerechtelijke instanties. Daarnaast zijn het private organisaties, die zich als kerntaak op grote schaal bezighouden met het ‘regelmatig en stelselmatig’ observeren van burgers. De verplichting geldt ook voor organisaties die als hoofdtaak ‘het grootschalig verwerken van bijzondere soorten persoonsgegevens’ hebben. Dit kunnen raciale, seksuele of bijvoorbeeld medische gegevens zijn. Deze lijst mag in ons land nog worden uitgebouwd door de Autoriteit Persoonsgegevens (AP). Of dat gaat gebeuren is nu nog koffiedik kijken”, aldus Peter van Schelven.

Positionering privacy-officer

“Naast de vraag of je verplicht bent een privacy officer aan te stellen, doen organisatie er goed aan zorgvuldig om te gaan met de positionering van de functie binnen de organisatie”, gaat hij verder. “De privacy officer kan een medewerker uit de eigen organisaties zijn. Het kan ook iemand zijn die op contractuele basis wordt ingehuurd. Dit laatste is niet eens zo’n gek idee. Het combineren van de functie privacy officer met een andere functie kan immers tot lastige morele en juridische dillema’s leiden. Denk aan een marketingmanager van een farmaceutisch bedrijf, die tevens de functie van privacy officer vervult. Die kan al snel in een belangenconflict terecht komen. De EPV verbiedt dergelijke combinaties als zodanig niet, maar in de praktijk is het zo makkelijk nog niet.”

Dag van de Privacy Officer 2016 IIR

Privacy officer als bruggenbouwer

Wil je het als privacy officer goed doen, dan moet je in staat zijn om allerlei disciplines bij elkaar te brengen. “En dat is zeker niet eenvoudig”, benadrukt Peter van Schelven. “Je moet technische kennis hebben over hoe je je IT-infrastructuur inricht. Juridische kennis, omdat veel privacy vraagstukken worden vertaald naar contracten. En kennis over de organisatie, hoe privacy op de agenda van het bestuur komt te staan en je mensen op de werkvloer meekrijgt. Dit laatste vergt weer enige mate van psychologische kennis. Het is onmogelijk om al deze kennis tot in de puntjes te beheersen. In mijn ogen moet een privacy officer dan vooral ook goed zijn in koffie drinken, contacten leggen en het bouwen van bruggen tussen alle verschillende disciplines. In je eentje kom je er niet.”

Pluspunten van het congres

“Alle disciplines zie je terugkomen in het congres en er wordt ingespeeld op de actualiteiten. Meer dan vorig jaar, toen veel nog niet vast stond. Daarnaast wordt gewerkt met diverse stromen, zodat zowel de meer ervaren personen als de nieuwkomers op hun eigen niveau kennis kunnen vergaren én delen. Dit laatste is ook echt nodig. Er zijn immers nog maar weinig best practices. We moeten het met elkaar doen. Goed is ook dat er naast sprekers uit de private hoek, sprekers uit de publieke hoek zijn. Tussen januari en nu heeft meer dan de helft van de gemeenten een datalek gemeld bij de Autoriteit Persoonsgegevens. Zij hebben nog wel een inhaalslag te maken”, aldus Van Schelven.

Laat je niet leiden door angst!

Ter afsluiting benadrukt Van Schelven dat hij ziet dat veel organisaties vanuit angst handelen. “Ze kijken met name naar de in de EPV opgenomen sancties en hoe deze te voorkomen. De sancties zijn ook niet mild en kunnen oplopen tot in de miljoenen. Toch pleit ik voor een positieve benadering. Door je bezig te houden met een succesvol privacybeleid, ben je veel constructiever bezig. Je hoeft dan echt niet meteen het cijfer 10 te halen. De Autoriteit Persoonsgegevens heeft laten weten boetes op te leggen bij opzet of grove onachtzaamheid. Ofwel wanneer je de regels letterlijk aan je laars lapt. Door het nodige te doen, blijf je al uit die sanctiehoek en vanuit daar kun je verder bouwen”.

Peter van Schelven, Adviseur ICT & Recht, Bij Peter – Wet & Recht, is dagvoorzitter op het congres Dag van de Privacy Officer op 9 & 10 november 2016 in Amsterdam.