Print:

Het vak van privacy officer: welke expertise, skills en ervaring zijn essentieel?

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Het werkveld van privacy officers en data protection officers staat steeds meer in de belangstelling. Maar wat maakt nu precies een goede privacy officer? Drie experts vertellen over de kennis, vaardigheden en ervaring die de privacy officer van de toekomst nodig heeft. Dit is het derde deel in een serie blogs over ontwikkelingen in het privacyvak.

IIR Privacy

 

Met de komst van de Algemene verordening gegevensbescherming (AVG) is de arbeidsmarkt voor privacy officers en data protection officers sterk in beweging. Er is een grote vraag naar ervaren privacy-experts die op de hoogte zijn van het uitdagende terrein van dataprotectie en er zou zelfs een tekort zijn aan Functionarissen voor de Gegevensbescherming (FG’s) bij overheidsinstanties. Ondertussen wordt het takenpakket van privacy officers alsmaar complexer en uitdagender, onder meer vanwege technologische innovaties en de veranderende wet- en regelgeving.

“De laatste jaren is privacy een ontzettende hype geweest. Dat heeft niet altijd geleid tot een goed beeld van het vak van data protection officer. Er zijn organisaties die denken ze dat je met een privacy officer zonder budget een heel conglomeraat AVG-ready kan maken.” Dat zegt Rachel Marbus, sinds 2016 FG bij KPN en sinds 2007 actief als consultant op het terrein van privacy en security. Er is volgens Marbus nog een ander misverstand: over de positie en rol van data protection officers binnen de organisatie. “Een FG moet over voldoende professionaliteit beschikken om onafhankelijk toezicht te kunnen houden. Omdat de functie van een data protection officer voor veel organisaties nieuw is, weten collega’s niet altijd wat het takenpakket inhoudt. En als je vertelt dat je met de blik van een toezichthouder kijkt, dan zeggen ze al snel: ja, maar dat kan toch niet de bedoeling zijn!”

Interne samenwerking

“Collega’s vinden het van oudsher lastig om te horen te krijgen dat iets niet van de wet mag. Dat is logisch, want ze hebben natuurlijk andere targets dan de naleving van de wet. Dat maakt de positie van alle privacyprofessionals – of je nu een privacy officer bent, of een formeel aangesteld FG – best ingewikkeld”, zegt Marbus over een van de uitdagingen waarmee zij en haar vakgenoten te maken krijgen. “Je moet soms impopulaire adviezen geven. Daar moet je het niet warm of koud van krijgen. Het helpt natuurlijk als je duidelijk kunt maken dat je er, net als de collega’s, bent om de organisatie verder te helpen.”

Interne zichtbaarheid en samenwerking zijn hierbij essentieel, zegt Rien van Zuijlen, FG bij Noordwest Ziekenhuisgroep en sinds 1981 binnen het ziekenhuis betrokken bij dataprotectie. “Ons privacyteam zit bepaald niet verstopt in een kamertje achteraf: we zijn veel op de werkvloer en denken actief mee over nieuwe ontwikkelingen. Als privacyteam staan we voor goede zorg binnen de kaders van de privacywetgeving. Collega’s beseffen daardoor in toenemende mate dat dataprotectie echt een voordeel kan zijn, ook voor bijvoorbeeld de nieuwe plannen van zorgprofessionals en ICT-dienstverleners. Door de FG al vroegtijdig aan te haken, is privacy geen remmende kracht maar juist een slimme strategie die voorkomt dat een project in de uitvoeringsfase stagneert.”

Huib Gardeniers, partner bij Net2Legal Consultants, docent van de IIR-opleiding Certified Data Protection Officer (CDPO) en sinds 2000 consultant op het gebied van privacy, onderschrijft de benadering van Van Zuijlen. “Als privacy officer of FG moet je zeker in teamverband werken en jezelf niet aan het einde van de gang laten zetten. Je moet eigenlijk een soort diplomaat zijn die middenin het primaire proces van de organisatie staat. Want als niemand je weet te vinden en niemand naar je luistert, kan je niet de informatie en betrokkenheid krijgen die nodig zijn om je werk goed te doen. Het grootste risico van de positie van data protection officers is om afgesneden te worden van de organisatie.”

Externe netwerken

Ook externe netwerken zijn een must voor de privacy officer van nu, benadrukt Van Zuijlen. “In 2017 rondde ik de beroepsopleiding Certified Data Protection Officer (CDPO) af. Mijn medecursisten en ik onderhouden nog altijd contact. We komen zes keer per jaar samen, bij toerbeurt bij een van onze organisaties. We bespreken anoniem onze datalekken, wisselen ervaringen uit en kijken vooruit naar nieuwe wet- ren regelgeving.”

Ook Marbus is actief binnen een extern netwerk van gelijkgestemden. “In de Privacy Roundtable voor privacy officers van grote ondernemingen agenderen we zaken waar we tegenaan lopen en zoeken we samen naar oplossingen. Daarbij houden we ook nauw contact met de toezichthouder, die de laatste tijd open lijkt te staan voor een conversatie met FG’s.” De Autoriteit Persoonsgegevens (AP) heeft bijvoorbeeld een speciale digitale nieuwsbrief voor FG’s, en een e-mailadres waarop zij met vragen terechtkunnen.

Basisniveau

Welke kennis en vaardigheden hebben data protection officers nodig, naast het vermogen om samen te werken met interne en externe stakeholders? De toelichting van de EDPS op de FG-functie geeft hierover enige uitleg. “Het komt erop neer dat de FG een schaap met vijf poten is”, vat Gardeniers samen. “De EDPS besteedt overigens geen aandacht aan de werkervaring waarover data protection officers moeten beschikken. Ik denk dat je wel vier tot vijf jaar in het vak moet hebben meegelopen om een goed beeld te hebben van de veelzijdigheid van het onderwerp dataprotectie.”

Marbus vult aan: “De kwaliteit binnen het vak mag echt wel wat omhoog. Dat geldt misschien niet eens zozeer voor de FG, omdat de wet over die functie wel richtlijnen geeft. Maar er zijn op dit moment allerlei privacyprofessionals actief van wie je de kwaliteit niet kunt beoordelen.”

Gardeniers vindt het jammer dat er naast het EDPS-advies geen uitgewerkte richtlijnen zijn waaraan een FG moet voldoen. “Ik mis vooral een soort baseline, een minimumniveau waarmee FG’s zich kunnen profileren, zodat ze kunnen aantonen dat ze aan een bepaald niveau voldoen. Het is goed voor de toezichthouder én voor organisaties die een privacy officer of FG zoeken om te weten of iemand voldoende opgeleid is.”

Als privacy officer de kennis en vaardigheden van de toekomst opdoen? Volg een van onze praktijkgerichte trainingen en kom op 6 en 7 juni naar de Dag van de Privacy Officer.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten