Print:

Next steps voor de dpo: een gesprekspartner op niveau

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Hoe staat het vak van privacy officer er nu voor en wat zijn de next steps? Annechien Sloots deelt haar ervaringen en visie.

AVG-compliance | IIR

 

Nu.nl omschreef de Functionaris voor de Gegevensbescherming (FG) in een artikel over de Algemene verordening gegevensbescherming (AVG) als een data-sheriff. Wanne Pemmelaar van advocatenkantoor Allen & Overy, vergeleek de data protection officer (dpo) in een interview met NRC met een privacydiplomaat. Ook de termen duizendpoot en schaap met vijf poten komen nog wel eens langs.

Hoe privacyprofessionals ook precies worden getypeerd, het staat vast dat het vak met de komst van de AVG flink in de schijnwerpers staat. Hoe staat het beroep er nu voor? Uit een enquête van het Centrum voor Informatiebeveiliging en Privacybescherming CIP blijkt dat de meerderheid van de FG’s zich goed gesteund voelen door hun leidinggevenden. Veruit de meeste respondenten kunnen ook rechtstreeks rapporteren aan het hoogste niveau van de organisatie.

Gesprekspartner op bestuursniveau

“Als het goed is, was de (toen nog niet verplichte)  dpo al onder de Wet bescherming persoonsgegevens een gesprekspartner op bestuursniveau”, reageert Annechien Sloots. Ze werkte jarenlang als privacy jurist en privacy officer bij de Volksbank en komt tegenwoordig vanuit haar bureau Sloots legal & more als interim-dpo en -jurist over de vloer bij allerlei organisaties. “Bij organisaties die AVG-compliance alleen maar als een verplicht nummer zien, zullen dpo’s misschien wat moeite moeten doen om op het juiste niveau te acteren. Maar er zijn genoeg organisaties die de nieuwe regels echt integreren in de bedrijfsvoering en de AVG zien als een kans om te voldoen aan bijvoorbeeld maatschappelijke verwachtingen over gegevensbescherming. In dat soort organisaties ligt het voor de hand dat de dpo op managementniveau serieus wordt genomen.”

In het onderzoek van CIP komt ook naar voren dat slechts een beperkt aantal FG’s op structureel budget kan rekenen. Diverse respondenten geven bovendien aan dat de positionering van de dpo nog niet overal is uitgekristalliseerd. Sloots ziet ook hier een tweedeling tussen soorten organisaties. “Organisaties waarvoor de AVG een moetje is, investeren minder in de functie, opleiding en andere resources van de privacy officer.”

Uitdagingen in wet en organisatie

Wat zijn de next steps voor dpo’s? “De uitdagingen liggen op het vlak van wetgeving én de business”, aldus Sloots. “Privacyprofessionals moeten op de hoogte zijn van de relevante wetgeving, ook in situaties waar bijvoorbeeld een IT-jurist de dpo ondersteunt. Ik vind het zelf heel fijn om een juridische achtergrond te hebben: dan begrijp je hoe een wet in elkaar zit en hoe je wet- en regelgeving kunt uitleggen. Tegelijkertijd is het belangrijk om de organisatie goed te kennen, zodat je constructief kunt meedenken over de risico’s binnen de bedrijfsprocessen.”

Communicatieve vaardigheden

Het dagelijkse werk van privacyprofessionals is veelzijdig en uitdagend – en dat zal het voorlopig nog wel blijven, verwacht Sloots. “Er liggen voor FG’s hele concrete taken die volgen uit de wet. Maar ook privacy officers krijgen veel op hun bord. Neem het monitoren van compliance. Dat is een hele klus, en betekent bijvoorbeeld dat je goede voelsprieten in de organisatie moet hebben om erachter te komen waar het kan misgaan.”

In de toekomst wordt dan ook steeds meer gevraagd van de communicatieve vaardigheden van privacyprofessionals. “Je moet op bestuursniveau kunnen meepraten over risico’s. Dat moet je durven en kunnen. Je moet ook in staat zijn om privacy te verkopen, zodat dataprotectie niet wordt gezien als een vervelende verplichting, maar als een kans om een positieve impact te maken in bijvoorbeeld marketing en klantenservice.” Een streng optreden is hierbij niet altijd handig, aldus Sloots. “Er zijn juristen die vooral zeggen: nee, dat kan niet. Maar als privacyprofessional moet je wel een beetje kunnen meebewegen en meedenken over wat er mogelijk is binnen de grenzen van de wet.”

Kaders voor compliance

Een belangrijk thema voor de toekomst is volgens Sloots de continue awareness. “Voor privacyprofessionals is het creëren en borgen van awareness een kerntaak. Dat wil niet zeggen dat je zelf bijvoorbeeld alle voorlichting moet verzorgen. Maar je moet het wel organiseren. De organisatie en de mensen die er werken moeten weten wat de kaders zijn, waar de risico’s liggen en wanneer de dpo betrokken moet worden. Zonder de kaders kan compliance nooit succesvol zijn.”

Als FG of privacy officer nieuwe stappen zetten? Volg dan de praktijkcursus Privacy Officer 2.0 of FG in de publieke sector.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure van Privacy Officer 2.0 direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten