Met de invoering van de AVG-wetgeving zoeken veel organisaties naarstig naar een Privacy Officer. Want hoewel het niet verplicht is, is de aanstelling ervan binnen een organisatie wel wenselijk. Maar dat blijkt in de bijzonder krappe arbeidsmarkt nog niet zo makkelijk. Data&Privacyweb dook in het verhaal van de Privacy Officer. Wat moet je kunnen?
Elk bedrijf of organisatie heeft wel een marketingafdeling en die zit sinds de invoering van de wet op Algemene gegevensbescherming, kortweg de AVG, soms met de handen in het haar. Wat kun je wel en niet doen op basis van die wetgeving? Hoelang mag je gegevens bewaren van klanten en hoe doe je dat zonder dat iemand er toegang tot heeft, of het misschien zelfs wel uitlekt? Met andere woorden: wanneer ben je in overtreding?
Vanwege de AVG (uit 2018) en alle nieuwe wetgeving die er nog aan zit te komen vanuit de Europese Unie, willen organisaties mensen aannemen die van de hoed en de rand weten als het om privacy en dataverwerking gaat. Dikwijls wordt gekozen voor een Privacy Officer. Het is een veel gezochte kandidaat, leert een blik op de vacaturefeed van LinkedIn. Er staan bijna 300 vacatures uit, dus je hebt het als (aspirant-)Privacy Officer voor het uitzoeken, zeker in een toch al overspannen arbeidsmarkt. Een grote zorgverzekeraar als Achmea zocht er een tot voor kort, en ook de Rabobank werft. Recruiters struinen loopbaansites af op zoek naar de juiste kandidaat.
De Privacy Officer zorgt ervoor dat de AVG wordt nageleefd binnen een organisatie en ziet erop toe dat de privacy en dataverwerking bij elke medewerker die persoonsgegevens verzamelt, in veilige handen is. Een PO geeft advies en biedt ondersteuning, geeft interne trainingen en heeft een rol bij het melden van datalekken. Een belangrijk takenpakket dus, zeker in een tijd dat het belang van privacy steeds meer doordringt. Daarnaast heb je binnen vooral grote organisaties een Functionaris Gegevensbescherming (FG). Die is, anders dan de Privacy Officer, voor overheden en bepaalde, zogenoemde gegevensintensieve organisaties verplicht. Dat is het grootste verschil tussen beide functies, die verder een paar raakvlakken met elkaar hebben, zegt Gerrit-Jan Zwenne, advocaat bij Pels Rijcken en hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden.
Ze houden zich immers beiden bezig met privacywetgeving. De FG wordt geacht onafhankelijk van de directie te opereren, benadrukt Zwenne. ‘Het bestuur mag de FG niet instrueren waar het gaat om zijn toezichtszaken maar uiteraard wel voor andere (praktische) zaken zoals werktijden. De privacy officer krijgt wel instructies van hogerhand: zou je een privacystatement of een inzageverzoek willen opstellen? Dat soort zaken.’ Let wel, zegt hij: de verplichting om aan de AVG te voldoen, ligt altijd bij de organisatie zelf.
Als organisatie of bedrijf ben je niet verplicht een Privacy Officer aan te stellen, maar in het geval van de Functionaris Gegevensbescherming ligt dat soms anders. Bij die organisaties die op grote schaal bijzondere persoonsgegevens , zoals gezondheidsgegevens, verwerken en op uitgebreide schaal aan observatie van de openbare ruimte doen, is een FG noodzakelijk volgens de AVG. Dat geldt dus ook voor grote publieke organisaties als een ziekenhuis of een ministerie. De FG is het aanspreekpunt voor de Autoriteit Persoonsgegevens, en vice versa. In de praktijk gaat het vooral om e-mailcontact, aldus Zwenne: ‘Het heeft vaak allemaal nog niet veel om het lijf, helaas.’
Terug naar de Privacy Officer. Die blijkt dus populair. Maar wat heb je ervoor nodig? Data&Privacyweb vroeg het aan Carla Brinkman, werkzaam als Privacy Officer aan Wageningen University & Research (WUR), samen met twaalf privacy-collega’s. Onze redactie kwam haar op het spoor via onze LinkedIn-pagina. Ze belandde anderhalf jaar geleden op die post na jaren professionele ervaring op datagebied. Ze heeft een communicatie-achtergrond, geen juridische. Wat haar vooral drijft, is interesse. ‘Ik was al lang bezig met online communities en data, ook professioneel, en was nieuwsgierig naar hoe we met data omgaan. Het is vreselijk belangrijk, juist ook omdat data zoveel waard zijn.’
Brinkman merkt dat niet iedereen het belang van privacy en dataverwerking meteen inziet. ‘Het blijft lastig. De urgentie wil nog wel eens ontbreken.’ Op Wageningen University en Research bijvoorbeeld werken, uiteraard, veel wetenschappers, en die hebben het allemaal erg druk met hun onderzoek. Die ervaren de nadruk op databeheer, AVG en privacy soms als een extra last: moet ik dat er ook echt nog bij doen? Haar communicatie-achtergrond helpt hierbij. ‘Je hebt een gezonde dosis overtuigingskracht en assertiviteit nodig. Ik stap direct op mensen af. En je moet de materie op een leuke manier onder de aandacht brengen. Met humor en met aansprekende voorbeelden. Zodat het ook allemaal niet zo abstract is.’
Wat ook helpt, is collega’s een spiegel voor houden, geeft Brinkman aan. ‘Hoe zou jij het vinden als jouw persoonsgegevens niet beschermd zijn?’ Volgens haar valt en staat het met bewustwording. ‘Het principe onbekend maakt onbemind gaat hier enorm op. Met uitleggen kun je al een heleboel oplossen. Want als ik dan vraag: maar wat verzamel je nou eigenlijk? Nou, dat blijken dan vaak persoonsgegevens te zijn. Precies daar komt de AVG om de hoek kijken, vertel ik dan.’ Mensen nemen het vervolgens serieus, is haar ervaring. Ze heeft nog nooit iemand meegemaakt die zei: ik trek me hier helemaal niets van. Nee, dat gebeurt eigenlijk niet.
Maar vanzelfsprekend is het dus allemaal niet. Brinkman: ‘Ik vind dat het hier bij de WUR ook altijd beter kan. Het moet tussen de oren blijven zitten: privacy is belangrijk.’ Bij veel werknemers is dat besef soms nog niet ingesleten, erkent ook Gerrit-Jan Zwenne. ‘Het is natuurlijk nog allemaal relatief nieuw, maar het moet gewoon. Bij het afdragen van loonbelasting stelt toch ook niemand zich de vraag: heb ik hier wel zin in?’
We moeten het vak van Privacy Officers serieuzer nemen, vindt hij. En misschien dat er zelfs wel een speciale opleiding nodig is voor deze functie. Immers, optimale kennis van de AVG is ontzettend belangrijk. ‘Te vaak zegt de Privacy Officer: doe maar niet. Het mag niet volgens de AVG. En dat blijkt dan helemaal niet te kloppen, omdat er onvoldoende kennis is van de wet.’ Daar is volgens hem nog een wereld te winnen. ‘Onder bepaalde voorwaarden mogen bepaalde gegevensverwerkingen namelijk wél. Gedegen scholing is daarom van essentieel belang.’
