Print:

Data Protection Officer: een echte duizendpoot

Peter van Schelven , Adviseur ICT & Recht

LinkedIn profiel

Je kent ze wel, die verjaardagsfeestjes waarop je door een onbekende wordt aangesproken met de vraag: “Wat doe jij voor de kost?”. Zou je antwoorden dat je advocaat of leraar wiskunde bent, dan spreek je klare taal. Maar dat is wellicht anders als je zegt dat je met veel plezier jouw brood verdient als Data Protection Officer binnen een internationaal retailbedrijf. Je ziet een wenkbrauw van de vrager fronsen. Daarom voeg je er snel aan toe: “In sommige organisaties noemen ze zo’n iemand ook wel Privacy Officer.” Maar als ook dat nog geen spoor van herkenning oplevert, doe je jouw boeiende functie uit de doeken.

“In het bedrijf waar ik werk, verwerken we van honderdduizenden klanten dagelijks veel gegevens, van eenvoudige betaalgegevens tot gedetailleerde profielen met aankoopvoorkeuren. De consumenten die onze spullen kopen, bezoeken ons in een van onze winkels of via onze webshop. En ook van onze 800 medewerkers leggen we de nodige personeelsgegevens vast. In mijn functie ben ik er verantwoordelijk voor dat we op een zorgvuldige manier met al die gegevens omgaan. Zouden we dat niet doen, dan ondermijnen we de goede naam van ons bedrijf en dan verlies je vrijwel zeker klandizie. Kortom, in mijn werk ben ik bezig om het vertrouwen dat klanten en personeel in ons bedrijf mogen hebben, op een hoog peil te houden. Daarvoor leven we niet alleen netjes de privacywetgeving in de landen waar we zitten na, maar hebben we daar bovenop ook nog ons interne policies. Dat beleid heb ik samen met de directie ontwikkeld en dat wordt door mij op alle afdelingen van ons bedrijf stevig onder de aandacht gebracht. Zo geef ik morgen weer een awareness-training aan onze marketeers, die moeten weten wat ze met klantgegevens kunnen en mogen doen. Komende week adviseer ik onze directie over cameratoezicht in het magazijn,  waarover binnenkort overleg met de ondernemingsraad is.”

De Data Protection Officer die zijn of haar vak serieus uitoefent, is een duizendpoot die over een groot aantal competenties moet beschikken. De DPO is bekend met de wettelijk spelregels over de bescherming van persoonsgegevens. En dat is vooral ingewikkeld als je in een internationale organisatie werkt. Privacywetgeving van verschillende landen sluit zelden goed op elkaar aan. Maar ook aan branche-specifieke spelregels, bijvoorbeeld een gedragscode, kan een rol van betekenis toekomen.

Van geheel andere orde is het om als DPO er voor te zorgen dat iedereen binnen de eigen organisatie – van de receptie in de hal tot aan de directiekamer toe – netjes met persoonsgegevens  en bedrijfsdata omgaat. Dat vraagt veelal om sterke communicatieve vaardigheden. De realiteit laat zien dat een DPO niet zelden weerstanden moet zien te overbruggen. Wanneer je als DPO een door de marketingafdeling voorgenomen publiekscampagne wenst tegen te houden, dan moet je uiteraard in sterke schoenen staan. Je moet dan het privacy-beleid zien te “verkopen”, bijvoorbeeld in interne workshops.

De DPO is in overleg op alle niveaus en binnen alle geledingen en juist dat maakt dat je in het hart van je organisatie staat opgesteld. De DPO praat met HRM, sales, inkoop, productontwikkelaars, IT-ers, juristen marketeers, security, facilitair management en wat dies meer zij. Dat vergt een brede kennis en interesse. Waar nodig word je als DPO betrokken bij externe relaties, bijvoorbeeld wanneer jouw bedrijf besluit een cloudprovider in te schakelen.

Goede bescherming van persoonsgegevens kan niet zonder passende technische protectie. De DPO is daarom bekend met de talloze dreigingen van binnen en buiten de organisatie (cybercrime) en hij of zij ontwikkelt een beeld van de impact als deze risico’s zich onverhoopt zouden verwezenlijken. De DPO vervult een centrale rol als zich een ernstig datalek voordoet.

Niet in de laatste plaats beschikt een goede DPO over een loepzuiver basisgevoel bij de vraag wat ‘men’ in de samenleving nou wel en niet als een zorgvuldige omgang met persoonsgegevens ziet. Eén verkeerd bericht in de krant kan al snel funest zijn. De DPO is daarmee in zekere zin ook het ethisch geweten van een organisatie.

Data Protection Officer: een machtig vak! Laten we er nog maar een biertje op nemen. We zijn ten slotte op een leuk feestje.