Print:

De privacy officer en de data protection officer: hoe zit het precies?

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Privacy officer, FD, data protection officer, information security officer, chief data protection officer, CDPO. Er zijn tegenwoordig allerlei benamingen en functietitels voor professionals die zich bezighouden met privacy. Wat zijn eigenlijk de verschillen?

IIR Privacy

“Vroeger had ik op een verjaardagsfeestje wel wat uit te leggen. Bijna niemand begreep wat privacy inhoudt en waarom het belangrijk is”, zegt Huib Gardeniers, partner bij Net2Legal Consultants  en docent van de IIR-opleiding Certified Data Protection Officer (CDPO), in een terugblik op de ontwikkeling van het vak van privacy officer in de afgelopen decennia. De zaken staan er nu heel anders voor. De Algemene verordening gegevensbescherming (AVG), heeft werkterrein van privacyprofessionals een enorme impuls gegeven. Een toenemend aantal organisaties is verplicht een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Daarnaast hebben allerlei organisaties rond de implementatie van de AVG privacydeskundigen aangesteld. Soms is de functie tijdelijk, soms permanent. In sommige gevallen wordt de functie intern vervuld, in andere situaties wordt een externe partij ingehuurd.

Beelden van het vak

Op dit moment is in Nederland dan ook een divers gezelschap van privacyprofessionals aan het werk. Dat leidt nog wel eens tot misverstanden over de taken en verantwoordelijkheden van de verschillende functionarissen. “De laatste jaren is privacy een ontzettende hype geweest. Dat heeft niet altijd geleid tot een goed beeld van het vak van data protection officer”, zegt Rachel Marbus, sinds 2016 FG bij KPN en sinds 2007 actief als consultant op het terrein van privacy en security.

Marbus signaleert dat er vooral over de positie en rol van data protection officers veel onduidelijkheden zijn. “Een FG moet over voldoende professionaliteit beschikken om onafhankelijk toezicht te kunnen houden. Omdat de functie van een data protection officer voor veel organisaties nieuw is, weten collega’s niet altijd wat het takenpakket inhoudt. En als je vertelt dat je met de blik van een toezichthouder kijkt, dan zeggen ze al snel: ja, maar dat kan toch niet de bedoeling zijn!” Een andere misvatting is dat FG’s verantwoordelijk zijn voor de naleving van het privacybeleid van organisaties. Volgens de AVG zijn bestuurders van organisaties de verantwoordelijken.

Misverstanden over de FG

De misverstanden over de FG hebben mogelijk te maken met de relatieve onbekendheid van de FG. Pas sinds de AVG is er een wettelijke verplichting om een FG aan te stellen. Deze geldt voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken, organisaties die op grote schaal de openbare ruimte monitoren, organisaties die strafrechtelijke persoonsgegevens verwerken en publieke organisaties.

Een andere oorzaak achter onduidelijkheid is dat organisaties ook vrijwillig een FG kunnen aanstellen. Dat is dan echter geen vrijblijvende exercitie: ook een vrijwillig aangestelde FG moet aan dezelfde regels voor de verplichte FG voldoen.

Richtlijnen

Over de FG-functie bestaan richtlijnen, en de Europese privacytoezichthouders publiceerden een toelichting. Maar voor andere functies, zoals de privacy officer en chief data privacy officer, zijn geen formele richtlijnen of wettelijke (minimum)eisen. Dat betekent aan de ene kant dat het risico bestaat dat de FG wordt verward met een privacy-adviseur – en bijvoorbeeld onvoldoende slagkracht krijgt om de toezichthoudende rol in te vullen. Aan de andere kant kunnen privacy officers zich niet beroepen op wettelijke richtlijnen voor de invulling van hun takenpakket – en daardoor ook niet op investeringen van hun werkgever in bijvoorbeeld de speelruimte, tijd, kennis en vaardigheden die zij nodig hebben.

FG’s en de AP

FG’s zijn belangrijk voor het toezicht op naleving van de privacyregels, zo benadrukt de Autoriteit Persoonsgegevens (AP). “Zij vormen als het ware een netwerk van privacyhoeders en weten als geen ander wat er binnen organisaties speelt en op welke vlakken er werk aan de winkel is,” aldus directeur Cecile Schut. De AP onderhoudt dan ook nauwe contacten met FG’s, bijvoorbeeld via de speciale helpdesk. Privacy officers en andere professionals die niet zijn aangemeld als FG kunnen geen gebruik maken van deze voordelen.

Issues voor alle privacyprofessionals

Wat zijn de issues om in de gaten te houden als het gaat om taken en verantwoordelijkheden van verschillende beroepsgroepen die gespecialiseerd zijn in privacy en dataprotectie? Volgens Gardeniers is praktijkkennis voor elke privacyprofessional essentieel. “Ik denk dat je wel vier tot vijf jaar in het vak moet hebben meegelopen om een goed beeld te hebben van de veelzijdigheid van het onderwerp dataprotectie.” Daarnaast hebben vrijwel alle privacyprofessionals nog zendingswerk te doen. Ze staan aan de lat om hun interne positie te veroveren en om collega’s te informeren over de verplichtingen, risico’s en kansen die de AVG en andere privacywetgeving meebrengen. Samenwerking met collega’s helpt hierbij, benadrukken ervaren FG’s en privacy officers. Dat kan bijvoorbeeld via een privacydriehoek of een ander interdisciplinair team waarin IT, juridische zaken, HRM, marketing en andere relevante afdelingen zijn vertegenwoordigd.

Een speciaal aandachtspunt heeft te maken met de verhouding tussen FG’s en andere privacyprofessionals. In sommige organisaties is een FG actief en zijn daarnaast een aantal zaken op het vlak van dataprotectie belegd bij een privacy officer of een andere functionaris met privacy in de portefeuille. Deze werkverdeling stelt de organisatie in staat om een goede scheidslijn aan te brengen tussen het interne toezicht en bijvoorbeeld advies over gegevensbescherming, de begeleiding van Data Protection Assessments en de toepassing van privacy by design.

Het mag duidelijk zijn: het vak van de privacyprofessional is nog altijd volop in ontwikkeling. Het staat bovendien vast dat er geen blauwdruk is voor de taken, verantwoordelijkheden, kennis en vaardigheden van een goede privacyprofessonal. Zoals Rachel Marbus zegt: “De ideale FG of privacy officer bestaat niet – dat is een unicorn.”

Als privacyprofessional goed voorbereid zijn op de toekomst? Volg een van onze praktijkgerichte trainingen en kom op 6 en 7 juni naar de Dag van de Privacy Officer.

Verder lezen?

Laat uw e-mail achter en ontvang de Dataprotectie & Privacy gids direct in uw mailbox.