Print:

Het vak van privacy officer: hoe staat het ervoor, nu en straks?

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Het werkterrein van privacy officers en data protection officers is relatief jong. De beroepsgroep is ook nog volop in ontwikkeling. Drie privacyprofessionals die al een tijd meedraaien in het vak vertellen over heden en toekomst. Dit is het tweede deel in een serie van drie blogs over het vak van privacy officer.

Dag van de Privacy Officer | IIR

 

De wet- en regelgeving die aan de basis ligt van de hedendaagse beroepspraktijk van privacyprofessionals heeft zijn oorsprong in Europese principes en normen van enkele decennia geleden. De Europese Dataprotectie Richtlijn dateert van 1995. De basisbeginselen van de huidige wet- en regelgeving, waaronder de Algemene verordening gegevensbescherming (AVG), vertonen sterke overeenkomsten met de vroegere kaderwet. Het vak van privacy officer is daarentegen sterk veranderd.

De afgelopen jaren was het pionieren, zegt Rachel Marbus, sinds 2016 Functionaris voor de Gegevensbescherming (FG) bij KPN. Ze startte haar loopbaan in 2004 als onderzoeker aan Tilburg University en werkte vanaf 2007 als consultant op het vlak van privacy en security. Tot voor kort was ze privacy officer bij de NS. “Een aantal decennia geleden was dataprotectie vooral een academisch feestje, dat sterk werd gedreven door het werk van wetenschappers. Pas later kwamen er mensen die er in de praktijk mee aan de slag gingen. Langzamerhand zag je in organisaties mensen verschijnen die iets moesten doen met privacy. Het optreden van de toezichthouder en de risico’s van nieuwe technologie creëerden een sense of urgency. Maar de functie van privacy officer moest toen nog wel helemaal uitgevonden worden.”

Stijgende lijn

“Het bestaansrecht van privacy officers hoeft nu eigenlijk niet meer te worden bevochten”, zegt Marbus over de situatie nu. “Sterker nog, de AVG heeft geleid tot een gigantische hype.”

Huib Gardeniers, partner bij Net2Legal Consultants en docent van de IIR-opleiding Certified Data Protection Officer (CDPO), herkent de ontwikkeling die Marbus schetst. Hij houdt zich sinds 1990 bezig met privacyvraagstukken: eerst bij de Registratiekamer, de voorganger van de Autoriteit Persoonsgegevens (AP), en FENIT, het huidige Nederland ICT, en vanaf 2000 als consultant. “Ik zie door de jaren heen echt een stijgende lijn als het gaat om de aandacht voor het thema dataprotectie en de functie van privacy officer. Privacy is voor veel organisaties een serieus onderwerp van gesprek en een volwassen onderdeel van de bedrijfsvoering, het beleid en het risicomanagement geworden. Deze organisaties denken goed na over dataprotectie en zetten er deskundige mensen met voldoende opleiding en ervaring voor in.”

Zendingswerk

Volgens Gardeniers hebben privacyprofessionals nog altijd wel wat zendingswerk te doen: dataprotectie is voor veel organisaties vooral een moetje. “De dreiging van sancties door de toezichthouder is vaak de drijvende kracht achter aandacht voor de AVG. Managers vinden het onderwerp gewoon niet altijd zo leuk. Dat is ook logisch, want in essentie is privacy een grondrecht, dat is bedoeld om bepaalde vrijheden te beperken. Dat kan een beetje pijn doen. Om er dan toch serieus werk van te maken, is een bepaalde mate van volwassenheid noodzakelijk. Ik vergelijk het graag met de Wegenverkeerswet, die bedoeld is om het verkeer veilig te houden. Als je dan te hard rijdt, moet je niet zeuren als je een boete krijgt.”

Rien van Zuijlen, FG bij Noordwest Ziekenhuisgroep en sinds 1981 binnen het ziekenhuis betrokken bij dataprotectie, ziet nog een andere uitdaging voor de privacy officer van nu: prioriteiten stellen. “De privacy officer en FG van ons ziekenhuis zijn allebei fulltime met privacy bezig en toch moeten we voortdurend prioriteiten stellen. Een groot deel van ons werk kunnen we ook niet uitbesteden. Je moet goed ingevoerd zijn in de organisatie om bijvoorbeeld risico’s in te schatten en vroegtijdig betrokken te zijn bij nieuwe ontwikkelingen.”

Meer naar buiten

Van Zuijlen ziet dat het werkterrein van privacyprofessionals voortdurend verandert. “Voorheen speelde privacy bij ons vooral binnen de muren van het ziekenhuis. Het ging bijvoorbeeld over de omgang met patiënten die een kamer delen, en de afscherming van gesprekken die worden gevoerd bij de balie. Nu is het vak vrijwel volledig verschoven naar het management van data die over de grenzen van ziekenhuis gaan. Bijvoorbeeld via ons patiëntenportaal en vanwege de data die tussen verschillende locaties van ons ziekenhuis worden uitgewisseld. Het vak van privacy officer is daarmee gecompliceerder en uitdagender geworden, en de blik is meer gericht op de buitenwereld.”

Van Zuijlen is positief over deze ontwikkelingen. “Het werk van de FG wordt er naar mijn idee alleen maar leuker en spannender van. We hebben bijvoorbeeld een zorgverlenersportaal waarop huisartsen kunnen inloggen. Dat mag alleen met toestemming van de patiënt. Dat vinden huisartsen wel eens lastig. Maar daar voer je dan overleg over.”

Verder helpen

De vele mogelijkheden van online gegevensuitwisselingen betekenen dat privacy officers goed op de hoogte moeten blijven van nieuwe technologische ontwikkelingen, zegt Van Zuijlen. “Een nieuwe ontwikkeling is dat patiënten in toenemende mate gebruik gaan maken van digitale middelen, zoals apps en draagbare instrumenten (zoals pacemakers) die in contact staan met onze specialisten. De opgave voor mij is om te zorgen dat er dan vroegtijdig aan privacy wordt gedacht. We maken daarom goed duidelijk dat dataprotectie geen remmende kracht hoeft te zijn, maar juist een voordeel.”

Ook Marbus benadrukt het belang van goed overleg binnen de organisatie. “Het is logisch dat collega’s het lastig vinden als ze iets niet kunnen doen vanwege de privacywetgeving. Ik benadruk dan dat we allemaal op aarde zijn om het bedrijf verder te helpen. Dat kan uiteraard ook als je goed let op privacy en security.”

Van Zuijlen vult aan: “Ik vind het heel belangrijk dat je als FG open staat voor vragen van collega’s en klanten, en goed benaderbaar bent. Patiënten zijn mondiger geworden en kennen hun rechten vaak heel goed. Het helpt dan om mensen persoonlijk te woord te staan, hun vragen serieus te nemen, en te laten zien dat je hun problemen probeert op te lossen. Vaak zijn mensen onnodig ongerust over de verwerking van hun persoonsgegevens.”

De privacyprofessional als unicorn

“De ideale FG of privacy officer bestaat niet – dat is een unicorn”, stelt Marbus. “Excellente vakkennis is een vanzelfsprekende basis. Een multidisciplinaire achtergrond is een pre. Het helpt bijvoorbeeld als je naast een juridische opleiding ook een andere discipline beheerst, zoals informatiebeveiliging. Maar je moet vooral ook goed kunnen communiceren met verschillende doelgroepen, van de CEO tot de receptioniste.”

Ook Gardeniers benadrukt het belang van communicatieve vaardigheden. “Mensen moeten wel naar je luisteren, anders kan je niet overtuigend adviseren en optreden. Je moet eigenlijk een soort diplomaat zijn, zodat mensen niet bang zijn voor je oordeel en je voldoende betrokken en geïnformeerd wordt.”

De persoonlijkheid van de data protection officer speelt hierbij ook mee, vult Marbus aan. “Je moet als FG een beetje lef en een rechte rug hebben. En niet bang zijn om autonoom te werken. Als je dan ook nog eens een creatief, breed denkend brein hebt, dan kan je echt ver komen.”

Als privacy officer de kennis en vaardigheden van de toekomst opdoen? Volg een van onze praktijkgerichte trainingen en kom op 6 en 7 juni naar de Dag van de Privacy Officer.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure van de Dag van de Privacy Officer direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten