Het profiel van de functionaris voor gegevensbescherming in de Algemene Verordening Gegevensbescherming

Adriaan Golsteyn
De scriptie bevat een onderzoek naar het profiel van de functionaris voor gegevensbescherming in de Algemene Verordening Gegevensbescherming. Het geeft een overzicht van de managementrollen, de verantwoordelijkheden en de kennis van de functionaris voor gegevensbescherming.

Een Data Protection Officer is schaap met vijf poten

Willem Debeuckelaere

“U moet een soort van multidisciplinaire superman of superwoman zijn.”

De General Data Protection Regulation (GDPR) is de privacywetgeving die gegevensbescherming in een juridisch kader plaatst in Europa. De GDPR of de Algemene Verordening Gegevensbescherming (AVG) introduceert de verplichte aanstelling van een Data Protection Officer (DPO) in een organisatie. De DPO of de Functionaris voor Gegevensbescherming (FG) adviseert een organisatie over de naleving en de implementatie van de AVG. De aanstelling, de positie en de taken van de FG worden beschreven in de AVG. Het profiel van de FG wordt in de AVG niet beschreven.

De voorzitter van de privacycommissie in België Willem Debeuckelaere beschrijft het profiel van de Functionaris voor Gegevensbescherming (FG) als een “multidisciplinaire superman of superwoman”. Mijn onderzoek gaat na wat het profiel is van de FG aan de hand van een analyse van de managementrollen en de verantwoordelijkheden van de FG. Het profiel van de FG wordt getoetst aan andere vergelijkbare managementfuncties in een organisatie. Er werd onderzoek gevoerd aan de hand van interviews met experten in de Algemene Verordening Gegevensbescherming (AVG) en een jobadvertentie-analyse.

Toetsing van de Functionaris voor Gegevensbescherming aan de vergelijkbare managementfuncties

De laatste maanden kregen we allemaal wel eens een e-mail van een organisatie met de vraag of ze onze persoonsgegevens mochten gebruiken. De e-mails werden verstuurd door de Functionaris voor Gegevensbescherming (FG) om de rechten van het gegevenssubject te respecteren. Gegevenssubjecten zijn natuurlijke personen zoals jij en ik waarvan persoonlijke gegevens bewaard worden.

De Functionaris voor Gegevensbescherming (FG) benadrukt in een organisatie het belang van gegevensbescherming en onderlijnt de rechten van de gegevenssubjecten zoals die beschreven zijn in de AVG. Een Chief Privacy Officer (CPO) handelt daarentegen eerst vanuit het perspectief van de organisatie bij het opstellen van een beleid rond privacy en gegevensbescherming.

Figuur 1: Rol van de CPO vergelijken met de rol van de FG

Figuur 1: Rol van de CPO vergelijken met de rol van de FG 

De privacycommissie is bij de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) omgevormd tot de Gegevensbeschermingsautoriteit (GBA). De GBA controleert of de AVG wordt nageleefd bij organisaties in België en heeft een sanctionerende bevoegdheid. De Functionaris voor Gegevensbescherming (FG) kan hierdoor, in tegenstelling tot de Chief Privacy Officer (CPO), de verplichtingen uit de AVG afdwingen in een organisatie.

De Functionaris voor Gegevensbescherming (FG) is zoals de Chief Information Officer (CIO) betrokken bij alle bedrijfsprocessen en oefent eveneens een invloed uit op de bedrijfsstrategie. De FG voert in samenwerking met een interne auditor onafhankelijk en objectief controle uit op de werking van de bedrijfsprocessen. De FG controleert of de bedrijfsprocessen in lijn zijn met de Algemene Verordening Gegevensbescherming (AVG). De FG introduceert samen met de Chief Information Security Officer (CISO) informatiebeveiliging in een organisatie en zorgt voor de nodige bewustwording rond gegevensbescherming. De FG legt, in tegenstelling tot de CISO, vooral een nadruk op de noodzakelijke investeringen voor de naleving van de AVG.

De kennis en de verantwoordelijkheden van de Functionaris voor Gegevensbescherming

Uit mijn onderzoek blijkt dat zowel de bedrijven die op zoek zijn naar een Functionaris voor Gegevensbescherming (FG) als de experten in de Algemene Verordening Gegevensbescherming (AVG) aangeven dat juridische kennis alleen niet voldoende is om als FG te functioneren in een organisatie.

Een expert in de Algemene Verordening Gegevensbescherming (AVG) beschrijft de Functionaris voor Gegevensbescherming (FG) in een interview als een schaap met vijf poten. Er wordt in de interviews aangegeven dat de FG juridische kennis bezit, maar eveneens kennis bezit van informatietechnologie (IT) en van de bedrijfsprocessen in een organisatie. Uit de jobadvertentie-analyse blijkt dat bedrijven een jurist aanduiden als FG, maar er wordt eveneens benadrukt in de jobadvertenties dat IT-technische en economische kennis onderdeel uitmaken van de functie.

Figuur 2 geeft een overzicht van de verantwoordelijkheden (rechthoeken) en de kennis (ovalen) van de Functionaris voor Gegevensbescherming (FG) in relatie tot de vergelijkbare managementfuncties. Figuur 2 geeft weer dat de FG juridische en IT-technische kennis bezit om de functie uit te voeren. De FG hanteert de nodige managementkwaliteiten en de economische kennis om als leider de implementatie van de Algemene Verordening Gegevensbescherming (AVG) in een organisatie te begeleiden.  

Figuur 2 geeft aan dat de Functionaris voor Gegevensbescherming (FG) controle uitvoert en advies verleent over de naleving van de Algemene Verordening Gegevensbescherming (AVG). De FG creëert bewustwording rond privacy en gegevensbescherming aan de hand van opleidingen. De verplichtingen in de AVG worden door de FG in het beleid van een organisatie verwerkt.

Figuur 2: Overzicht van de rol van de functionaris voor gegevensbescherming in een organisatie

Figuur 2: Overzicht van de rol van de functionaris voor gegevensbescherming in een organisatie

Het profiel van de Functionaris voor Gegevensbescherming

De Functionaris voor Gegevensbescherming (FG) is een multidisciplinaire manager die intern en extern een vertegenwoordiger is voor de implementatie van de Algemene Verordening Gegevensbescherming (AVG) in een organisatie. De FG zal een informatieve, strategische en diplomatische rol op zich nemen. De FG adviseert preventief en proactief over de naleving van de Algemene Verordening Gegevensbescherming (AVG) in een organisatie.

De Functionaris voor Gegevensbescherming (FG) is een schaap met vijf poten omdat verwacht wordt dat de FG adviezen verleent over de Algemene Verordening Gegevensbescherming (AVG) die betrekking hebben op de verschillende departementen in een organisatie. De FG is een ‘superman of superwoman’ omdat het profiel verantwoordelijkheden en kennis bezit die meestal niet door één persoon kunnen worden ingevuld. In de praktijk blijkt vooral dat de FG niet ingevuld wordt door één persoon, maar door een team van experten in een bepaald domein.

Bibliografie

Digitale artikels en websites 

AGDP. (2017). Certification scheme of data protection officers from the spanish dataprotection agency (dpoaepdscheme). Geraadpleegd op 17 maart 2018, via https://www.agpd.es/portalwebAGPD/temas/certificacion/common/pdf/SCHEME… 
 
Baseline Informatiebeveiliging Nederlandse Gemeenten. (2014, februari). Handreiking ib-functieprofiel chief information security officer (ciso). Geraadpleegd op 28 mei 2018, via https://www.informatiebeveiligingsdienst.nl/wp-content/uploads/2014/04/… 
 
DPO-Pro. (2018). DPOs, you don’t have to walk alone. Geraadpleegd op 25 maart 2018, via https://www.dpopro.be/en/blog/ 
 
CBPL. (2015). Privacycommissie publiceert brochure en jaarverslag 2015. Geraadpleegd op 20 april 2018, van https://www.privacycommission.be/nl/privacycommissie-publiceert-brochur… 
 
Heimes, R., Pfeifle, S., & IAPP. (2016). Study: GDPR’s global reach to require at least 75,000 DPOs worldwide. Geraadpleegd op 16 maart 2018, via https://iapp.org/news/a/study-gdprs-global-reach-to-requireat-least-750… 
 
Het Laatste Nieuws. (2016). Datalek doet patiëntengegevens op straat belanden. Geraadpleegd op 20 april 2018, via https://www.hln.be/regio/malle/datalek-doet-patientengegevens-op-straat… 
 
IAPP. (2016). From Here to DPO: Building a Data Protection Officer. Geraadpleegd op 2 april 2018, van https://iapp.org/resources/article/from-here-to-dpo-building-a-data-pro… 
 
IAPP. (2017). What skills should your DPO absolutely have? Geraadpleegd op 25 maart 2018, van https://iapp.org/news/a/what-skills-should-your-dpo-absolutely-have/ 
 
ISACA. (2010). Developing a Successful Governance Strategy. Geraadpleegd op 7 april 2018, via http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of… 
 
Privacycommissie. (2017). Aanbeveling betreffende de aanwijzing van een functionaris voor gegevensbescherming in toepassing van de Algemene Verordening Gegevensbescherming (AVG) en in het bijzonder de toelaatbaarheid van de cumulatie van deze functie met andere functies waaronder die van veiligheidsconsulent ((CO-AR-2017-008)). Geraadpleegd op 14 mei 2018, via https://www.privacycommission.be/sites/privacycommission/files/document… 
 
Time. (2018). Mark zuckerberg lost 10 billion in one week after facebooks privacy scandal. Geraadpleegd op 16 april 2018, via http://time.com/money/5213181/mark-zuckerberg-lost-10-billion-in-one-we… 
 
Toreon, & Chadwick, D. (2018). What skills should Data Protection Officers have? Geraadpleegd op 2 mei 2018, via https://www.toreon.com/privacy/what-skills-should-data-protection-offic… 
 
Yoshi, T. & Emerce. (2016). Ten minste 28 duizend data protection officers nodig. Geraadpleegd op 5 mei 2018, via https://www.emerce.nl/achtergrond/ten-minste-28-duizend-data-protection… 
 
Vlaamse Overheid. (2015). Informatieveiligheidsconsulenten, geraadpleegd op 25 maart 2018, via https://overheid.vlaanderen.be/informatieveiligheidsconsulent 
 
Vlaamse Overheid. (2014). Functiebeschrijving Veiligheidsconsulent. Geraadpleegd op 28 april 2018, via https://overheid.vlaanderen.be/sites/default/files/Veiligheidsconsulent… 

Wetgeving, rapporten en mededelingen 

Belgisch Staatsblad (1993). Koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid. Geraadpleegd op 25 maart 2018 via http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&… wet 
 
CBPL. (2017). Aanbeveling betreffende het Register van de verwerkingsactiviteiten (artikel 30 van de AVG) (CO-AR-2017-011). Geraadpleegd op 25 april 2018, via https://www.privacycommission.be/sites/privacycommission/files/document… 
 
Data protection Working Party. (2012). Opinion 05/2012 on Cloud Computing (05/12/EN WP 196). Geraadpleegd op 12 maart 2018, via http://www.cil.cnrs.fr/CIL/IMG/pdf/wp196_en.pdf 
 
EDPL. (2016). European Data Protection Law Review. Geraadpleegd op 17 april 2018, via https://edpl.lexxion.eu/ 
 
Europese Commissie. (2018). Betere bescherming, nieuwe mogelijkheden - Richtsnoeren Commissie voor de directe toepassing van de algemene verordening gegevensbescherming met ingang van 25 mei 2018 (COM(2018) 43 final). Geraadpleegd op 13 mei 2018, via http://ec.europa.eu/transparency/regdoc/rep/1/2018/NL/COM-2018-43-F1-NL… 
 
Europese Raad. (2013). Data protection: Council supports “one-stop-shop”principle (14525/13 (OR. en) PRESSE 403). Geraadpleegd op 19 april 2018, via http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/13… 
 
Europese Unie. (2016). Verordening (eu) 2016/679 van het europees parlement en de raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (L 119/1). Geraadpleegd op 2 april 2018, via https://eurlex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A32016R0679 
 
Groep gegevensbescherming artikel 29. (2016). Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO) (16/NL WP 243 rev.01). Geraadpleegd op 7 april 2018, via https://www.privacycommission.be/sites/privacycommission/files/document… 
 
OECD. (2010). 30 Years After: the Impact of the OECD Privacy Guidelines (05/12/EN WP 196). Geraadpleegd 20 maart 2018, via http://www.oecd.org/sti/ieconomy/30yearsaftertheimpactoftheoecdprivacyg… 

Privacycommissie. (2016). Aanbeveling betreffende de functionaris voor gegevensbescherming in het kader van de toepassing van de Algemene Verordening Gegevensbescherming (AVG) ((CO-AR-2016-005)). Geraadpleegd op 17 april 2018, via https://www.privacycommission.be/sites/privacycommission/files/document… 
 
Privacycommissie. (2017). Aanbeveling betreffende de aanwijzing van een functionaris voor gegevensbescherming in toepassing van de Algemene Verordening Gegevensbescherming (AVG) en in het bijzonder de toelaatbaarheid van de cumulatie van deze functie met andere functies waaronder die van veiligheidsconsulent ((CO-AR-2017-008)). Geraadpleegd op 14 mei 2018, via https://www.privacycommission.be/sites/privacycommission/files/document… 
 
Ringelheim, F., (2000). Advies nr. 99/09 van 9 november 1999 gewijzigd op 25 juli 2000 betreffende een aantal vragen uitgaande van het Ministerie van Sociale Zaken, Volksgezondheid en Leefmilieu m.b.t. de veiligheidsconsulenten in de Openbare Centra voor Maatschappelijk Welzijn. Brussel: Toezichtscomité. Geraadpleegd op 25 mei 2018, via https://www.welzijnsband.be/docs/Advies_99-09.pdf 
 
Staatsblad Nederland. (2000). Wet van 6 juli 2000 met betrekking tot de regels inzake de bescherming van persoonsgegevens. Geraadpleegd op 5 mei 2018, via http://www.uva.nl/home 
 
The Bundestag. (2017). Act to Adapt Data Protection Law to Regulation (EU) 2016/679 and to Implement Directive (EU) 2016/680 (DSAnpUG-EU)). Geraadpleegd op 15 maart 2018, via https://iapp.org/media/pdf/resource_center/Eng-trans-Germany-DPL.pdf 
 
Vlaamse Regering. (2009). Besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer. Geraadpleegd op 22 april 2018, via http://vtc.corve.be/docs/E_GOV_decreet_BVR_VEILIGHEID.pdf  
 
Kruispuntbank Wetgeving (1992), Geraadpleegd op 28 maart 2018, via http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&… 32 
 
Literatuur 

Albrecht, J. P. (2016). Das neue EU-Datenschutzrecht-von der Richtlinie zur Verordnung. Computer und Recht, 32(2), 88.  
 
American Educational Research Association. (1999). American Psychological, Association, National Council on Measurement in Education. Standards for educational and psychological testing. 
 
Arnett, K. P., & Litecky, C. R. (1992). Retooling systems analyst skills for small hospitals. Journal of Systems Management, 43(6), 23.  
 
Awazu, Y., & Desouza, K. C. (2004). The Knowledge Chiefs: CKOs, CLOs and CPOs. European Management Journal, 22(3), 339-344. 
 
Balboni, P., Pelino, E., & Scudiero, L. (2014). Rethinking the one-stop-shop mechanism: Legal certainty and legitimate expectation. Computer Law & Security Review, 30(4), 392-402. 
 
Balthazar, Tom. (2018). Privacycommissie wordt gegevensbeschermingsautoriteit. De juristenkrant, (362), 2–2. 
 
Barker III, V. L., & Mueller, G. C. (2002). CEO characteristics and firm R&D spending. Management Science, 48(6), 782-801.  
 
Bauer, D. (2018). 6 Steps to GDPR Implementation. Risk Management, 65(3), 14-15. 
 
Bayuk, J. L. (2004). Stepping through the IS audit (2nd ed.). Rolling Meadows, IL: Information Systems Audit and Control Association 
 
Beacham, J. (2018). Is your practice GDPR ready? In Practice, 40(3), 124-125. 
 
Bennett, S. C. (2007). Do You Need A Chief Privacy Officer? Practical lawyer-philadelphia-, 53(1), 17. 
 
Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS quarterly, 34(3), 523-548.  
 
Cappel, J. J. (2002). Entry-level IS job skills: A survey of employers. Journal of Computer Information Systems, 42(2), 76-82. 
 
Cavusoglu, H., Mishra, B., & Raghunathan, S. (2004). A model for evaluating IT security investments. Communications of the ACM, 47(7), 87-92.  
 
Chia, R. (2005). Book review: The aim of management education: Reflections on Mintzberg’s Managers not MBAs. Organization Studies, 26(7), 1090-1092. 
 
Choong, K. L. (2005). Analysis of skill requirements for systems analysts in fortune 500 organizations. The Journal of Computer Information Systems, 45(4), 84-92.  
 
Chun, M., & Mooney, J. (2009). CIO roles and responsibilities: Twenty-five years of evolution and change. Information & management, 46(6), 323-334.  
 
Clampitt, P. (2013). Communicating for Managerial Effectiveness. Problems. Strategies. Solutions. Thousand Oaks, London: Sage. 
 
Coffey, A., & Atkinson, P. (1996). Making sense of qualitative data: complementary research strategies. Sage Publications, Inc. 
 
Cohen, S. (2001) “Chief Privacy Officers,” Risk Management, (48)7, p. 9. 
 
CSC (1996). New IS leaders, CSC Index Research, UK: London. 
 
CSC (1997). Critical Issues of Information Systems Management - 10th Annual Survey, Computer Sciences Corporation, USA: El Segundo, California. 
 
Datz, T. (2005) How to Manage Security Halfway Around the World. CISO, 3(4) pp. 46-48 
 
Dhillon, G. and Backhouse, J. (2001), Current directions in IS security research: towards socio‐organizational perspectives. Information Systems Journal, 11: 127-153.  
 
E., Goldman. (2016). "What Is Privacy Law?". Historical and Topical Legal Documents. 1278. via https://digitalcommons.law.scu.edu/historical/1278  
 
Earl, M. J., & Feeny, D. F. (1994). Is your CIO adding value? Sloan Management Review, 35(3), 11. 
 
Engel, B. (2017). Why CISOs Fail: The Missing Link in Security Management--and How to Fix It. CRC Press. 
 
Feeny, D. F., & Willcocks, L. P. (1998). Core IS capabilities for exploiting information technology. Sloan management review, 39(3), 9. 
 
Fishbein, M., & Ajzen, I. (2011). Predicting and changing behavior: The reasoned action approach. Taylor & Francis. 
 
Fisher, S. (2001) “Privacy by Design,” InfoWorld, (23)27, 2001, pp. 8. 
 
Freiherr, A. V. D. B., & Zeiter, A. (2016). Implementing the EU General Data Protection Regulation: A Business Perspective. Eur. Data Prot. L. Rev., 2, 576.  
 
Gallegos, F. (2003). IT auditor careers: IT governance provides new roles and opportunities. In Information Systems Control Journal. 
 
Gallegos, F., & Looho, A. (2001). IS audit training needs for the 21st century: a selected assessment. Journal of Computer Information Systems, 41(2), 9-15. 
 
Gevers, M. (2017). De invloed van de algemene verordening gegevensbescherming op de onafhankelijkheid, de werking en de territoriale en materiële bevoegdheid van nationale toezichthoudende autoriteiten. (Masters thesis, RUG, België) 
 
Gierschmann S. (2016). 'Was bringt deutschen Unternehmen die DS-GVO? Mehr Pflichten, aber die Rechtsunsicherheit bleibt.'  Zeitschrift fOr Datenschutz 51, 53. 
 
Glick, M. B. (2013). The development of an instrument for measuring role perceptions of US chief executive officers. Modern Management Science & Engineering, 1(1), 58.  
 
Goddard, M. (2017). The EU General Data Protection Regulation (GDPR): European regulation that has a global impact. International Journal of Market Research, 59(6), 703-705. 
 
Gottschalk, P. (2000). Information systems executives: the changing role of new IS/IT leaders. Informing Science, 3(2), 31-40. 
 
Gottschalk, P. (2002). The chief information officer: a study of managerial roles in Norway. In System Sciences. HICSS. Proceedings of the 35th Annual Hawaii International Conference on (pp. 3133-3142). IEEE. 
 
Grover, V., Jeong, S. R., Kettinger, W. J., & Lee, C. C. (1993). The chief information officer: A study of managerial roles. Journal of management information systems, 10(2), 107-130. 
 
Hall, Mark. (2005) Price of Security Breaches, Computerworld 39(46) pp. 8 
 
Hambrick, D. C., & Mason, P. A. (1984). Upper echelons: The organization as a reflection of its top managers. Academy of management review, 9(2), 193-206. 
 
Hardin, A., Joshi, K., & Li, X. (2002). Business as usual? IS job skill requirements during the internet era. AMCIS 2002 Proceedings, 292. 
 
Hart, S. L., & Quinn, R. E. (1993). Roles executives play: CEOs, behavioral complexity, and firm performance. Human relations, 46(5), 543-574.  
 
Hooijberg, R., Hunt, J. G., & Dodge, G. E. (1997). Leadership complexity and development of the leaderplex model. Journal of management, 23(3), 375-408. 
 
IOMA. (2005) So You Want to Be a CISO? The Pay's Good-But It's Not Easy. Security Director's Report. 5(7) 1,-10 
 
Ives, B., & Olson, M. H. (1981). Manager or technician? The nature of the information systems manager's job. MiS Quarterly, 49-63. 
 
Lainhart, J.W. (2000) COBIT™: A Methodology for Managing and Controlling Information and Information Technology Risks and Vulnerabilities. Journal of Information Systems: Supp., Vol. 14, No. s-1, pp. 21-25. 
 
Johnson, M. E., & Goetz, E. (2007). Embedding information security into the organization. IEEE Security & Privacy, 5(3). 
 
Kayworth, T., Brocato, L., & Whitten, D. (2005). What is a Chief Privacy Officer? An Analysis Based on Mintzberg's Taxonomy of Managerial Roles. Communications of the Association for Information Systems, 16(1), 6. 
 
Doughty K., &Driscoll, J. (2002). Information technology auditing and facilitated control self-assurance. IT Service Management—IT Service Management Forum Ltd 
 
Kosan, L. (2000) “E-Biz Execs Guard Net Privacy,” eWeek, (17)33. 
 
Kindt E. (2016). “Wat brengt de nieuwe verordening Algemene Gegevensbescherming?” VRG-ALUMNI (ed.), Recht in beweging – 23ste VRG Alumnidag 2016, Antwerpen, Maklu, 2016, (489) 
 
Kranenborg, H. R. (2013). Nieuwe Europese regels voor de bescherming van persoonsgegevens: van belang voor iedereen. SEW Tijdschrift voor Europees en economisch recht, 7, 309-316. 
 
Kroeks-de, R. C., Westerdijk, R. J. J., & Zwenne, G. J. (2016). De Algemene Verordening Gegevensbescherming. Tijdschrift voor Internetrecht, 2016, 9. 
 
Kros, J., Foltz, C., and Metcalf, C. (2004/05) Assessing and Quantifying the Loss of Network Intrusion. Journal of Computer Information Systems 45(2), pp. 36-43 
 
Kubilus, N. (2004) IT and Security: Converging Roles. ComputerWorld. Nov 22, 2004. pp. 44. 
 
Kuné, H., & Piersma, K. (2017). Universiteit stelt privacytoezichthouder aan. De Algemene Verordening Gegevensbescherming staat voor de deur. Pictogram, 19(2). 
 
Lee, C. K. (2005). Analysis of skill requirements for systems analysts in Fortune 500 organizations. Journal of Computer Information Systems, 45(4), 84-92. 
 
Lee, D. M., Trauth, E. M., & Farwell, D. (1995). Critical skills and knowledge requirements of IS professionals: a joint academic/industry investigation. MIS quarterly, 313-340. 
 
Levine, J. R., Stebben, G., & Everett-Church, R. (2002). Internet privacy for dummies. John Wiley & Sons, Inc. 
 
Lockwood, D., & Ansari, A. (1999). Recruiting and retaining scarce information technology talent: a focus group study. Industrial Management & Data Systems, 99(6), 251-256.  
 
M. Ebbers, J. van Hoof en C.E. Oude Weernink. (2017). De toepassing van track-en-tracetechnologie in de zorg (2), Afl. 6, december 2017, Privacy en Informatie, Management Journal, (22)3, pp. 339-344 
 
Mantelero, A. (2016). Right to Be Forgotten and Public Registers-A Request to the European Court of Justice for a Preliminary Ruling. Eur. Data Prot. L. Rev., 2, 231.  
 
Marshall, J. (2001) “The Emerging CPO—Chief Privacy Officer,” Financial Executive, (17)2, p. 10. 
 
Mech, T. (1997). The managerial roles of chief academic officers. The Journal of Higher Education, 68(3), 282-298. 
 
Mintzberg, H. (1971) “Managerial Work: Analysis for Observation,” Management Science, (18)2, pp. 97110 
 
Mintzberg, H. (1989). Mintzberg on management: Inside our strange world of organizations. Simon and Schuster. 
 
Mintzberg, H. (1990). The design school: reconsidering the basic premises of strategic management. Strategic management journal, 11(3), 171-195. 
 
Mintzberg, H. (1990). The Manager's Job: Folklore and Fact. Harvard Business Review, March April 
 
Mintzberg, H. (1994). Rounding out the manager's job. Sloan Management Review, 36(1), 11. 
 
Mintzberg, H. (1998). Covert leadership: Notes on managing professionals. Harvard business review, 76, 140-148. 
 
Mogul, F. (2000) “Rise of the CPO,” Internet World, (6)21. 
 
Murphy, C. (2000) “Businesses Address Privacy Concerns,” InformationWeek, (778), March 20, 
 
Krijgsman, N, Terstegge, J., Versmissen, K. (2017). Grip op de AVG, De nieuwe privacywet, Wolters Kluwer, Uitgeverij Paris 
 
Nash, K. (2000) “Chief Privacy Officers: Forces or Figureheads?” ComputerWorld, (34)46, pp. 46- 48. 
 
Paolillo, J. G. (1981). Role Profiles for Manager's at Different Hierarchical Levels. In Academy of Management Proceedings (Vol. 1981, No. 1, pp. 91-94). Briarcliff Manor, NY 10510: Academy of Management. 
 
Pavett, C. M., & Lau, A. W. (1983). Managerial work: The influence of hierarchical level and functional specialty. Academy of Management journal, 26(1), 170-177. 
 
Pearce, J. and Robinson, R. (1994) Formulation, Implementation, and Control of Competitive Strategy. Boston: Irwin 
 
Pearson, H., & Officer, C. P. (2003). Privacy and Security in an On Demand World. In Almaden Institute Symposium on Privacy. 
 
Pemberton, J. M. (2002). Chief privacy officer: Your next career? Information Management, 36(3), 57. 
 
Petterson, M. (2005). The keys to effective IT auditing. Journal Of Corporate Accounting & Finance (Wiley), 16(5), 41-46. doi:10.1002/jcaf.20134 
 
Pinsonneault, A. and S. Rivard (1998). Information Technology and the Nature of Managerial Work: From the Productivity Paradox to the Icarus Paradox? MIS Quarterly, September, 287-311. 
 
Quintel, T. A. (2018). European Union∙ Article 29 Data Protection Working Party Opinion on the Law Enforcement Directive. European Data Protection Law Review, 4(1), 104-109. 
 
Radcliff, D. (2000) “Keeping Secrets,” ComputerWorld, (34)46.   Recio, M. (2017). Data protection officer: The key figure to ensure data protection and accountability. European Data Protection Law Review (EDPL) 3(1), 114-118. 
 
Rockart, J. F., & De Long, D. W. (1988). Executive support systems: The emergence of top management computer use. Dow Jones-Irwin.  
 
Ross, J. W., & Feeny, D. F. (1999). The evolving role of the CIO. School of Management. Center for Information Systems Research, Sloan. 
 
Sheraz, A. A. (2016). CIO, responsibilities and challenges. Defense Resources Management in the 21st Century. 
 
Snijkers, K. (2005). eGovernment in een interbestuurlijke context: casestudie OCMW's en de kruispuntbank van de sociale zekerheid. Leuven: rapport bestuurlijke organisatie Vlaanderen 
 
Stephens, C. S., Ledbetter, W. N., Mitra, A., & Ford, F. N. (1992). Executive or functional manager? The nature of the CIO's job. Mis Quarterly, 449-467. Strategic management journal, 11(3), 171-195. 
 
Straub Jr, D. W. (1990). Effective IS security: An empirical study. Information Systems Research, 1(3), 255276. 
 
Swarts, R. J. (2017). Sharing is caring? Kwalitatief onderzoek naar de manier waarop zorginstellingen hun interne communicatie over privacybescherming en informatiebeveiliging inrichten om te kunnen opereren conform de nieuwe privacywet-en regelgeving (Masters thesis, RUG, Nederland). 
 
Synnott, W.R. (1987). The Emerging Chief Information Officer. Information Management Review, 3(1), 2135. 
 
Tankard, C. (2016). What the GDPR means for businesses. Network Security, 2016(6), 5-8. 
 
Thibodeau, P. (2000) “Chief Privacy Officers Enter Executive Suite,” ComputerWorld, (34)38. 
 
Todd, P. A., McKeen, J. D., & Gallupe, R. B. (1995). The evolution of IS job skills: a content analysis of IS job advertisements from 1970 to 1990. MIS quarterly, 1-27. 
 
Trager, L. (2000) “Everett-Church: Privacy’s His Game,” Interactive Week, (7)12. 
 
Tsui, A. S. (1984). A role set analysis of managerial reputation. Organizational behavior and human performance, 34(1), 64-96. 
 
Ufelder, S. (2004) “CPO’s: Hot or Not?” ComputerWorld, (38)11. 
 
Van Den Heuvel, B.  (2005). Toelichting bij de minimale veiligheidsnormen. Brussel: POD maatschappelijke integratie 
 
van Waesberge, C., & De Smedt, S. (2016). Cybersecurity and Data Breach Notification Obligations under the Current and Future Legislative Framework. Eur. Data Prot. L. Rev., 2, 391. 
 
Velasquez, S. (2016). A Descriptive Study of Chief Information Security Officers’ Roles and Responsibilities in Texas State Government Agencies. (Masters thesis, Texas State University, Verenigde Staten) 
 
Vos, M., & Schoemaker, H. (2011). Geïntegreerde communicatie. Concern-, interne en marketingcommunicatie. Boom Koninklijke Uitgevers 
 
Voss, W. (2016). Internal compliance mechanisms for firms in the eu general data protection regulation. Revue Juridique Themis 50(3), 783-820.  
 
Wagner, J., & Benecke, A. (2016). National Legislation within the Framework of the GDPR. Eur. Data Prot. L. Rev., 2, 353. 
 
Wee, J., Ma, S., & Kim, S. (2014). The Impact of Chief Privacy Officers' Background Knowledge and Role on Organizational Privacy Performance. International Conference Data Mining, Civil and Mechanical Engineering (ICDMCME’2014), Feb 4-5, 2014 Bali (Indonesia) 
 
Whitehead, A. N. (2005). The Aim of Management Education: Reflections on Mintzberg’s Managers not MBAs. Organization Studies, 26, 7. 
 
Whitten, D. (2008). The chief information security officer: an analysis of the skills required for success. The Journal of Computer Information Systems, 48(3), 15-19. Retrieved from https://search.proquest.com/docview/232572605?accountid=11077 
 
Wilson, M. (2010). How To Identify Personnel With Significant Responsibilities For Information Security (No. ITL Bulletin-). 
 
Winkelman (2015), Model voor inrichting interne communicatie. Geraadpleegd via Winkelman en Van Hessen 
 
Wren, D. (1994) The Evolution of Management Thought. New York: John Wiley and Sons, Inc. 
 
Young, D. (2001) “Wanted: Privacy Outlaws,” Wireless Review, (18)19. 
 
Zwenne G.J. (2016), De waarborging van de kwaliteit van de functionaris voor de gegevensbescherming, Privacy en Informatie (5): 202-203. 
 
Zwenne G.J. (2016), Wat doen we met de functionaris voor de gegevensbescherming (m/v)? Tijdschrift voor Internetrecht(3): 8 9.  
 
Zwenne, G. J., & Mommers, L. (2016). De tien belangrijkste veranderingen die de Algemene Verordening Gegevensbescherming gaat brengen. Tijdschrift voor Compliance, 2016, 8. 

Universiteit of Hogeschool
Master handelswetenschappen in management en informatica
Publicatiejaar
2018
Promotor(en)
Prof. dr. Greet Maes
Kernwoorden