Een Data Protection Officer is schaap met vijf poten
Willem Debeuckelaere
“U moet een soort van multidisciplinaire superman of superwoman zijn.”
De General Data Protection Regulation (GDPR) is de privacywetgeving die gegevensbescherming in een juridisch kader plaatst in Europa. De GDPR of de Algemene Verordening Gegevensbescherming (AVG) introduceert de verplichte aanstelling van een Data Protection Officer (DPO) in een organisatie. De DPO of de Functionaris voor Gegevensbescherming (FG) adviseert een organisatie over de naleving en de implementatie van de AVG. De aanstelling, de positie en de taken van de FG worden beschreven in de AVG. Het profiel van de FG wordt in de AVG niet beschreven.
De voorzitter van de privacycommissie in België Willem Debeuckelaere beschrijft het profiel van de Functionaris voor Gegevensbescherming (FG) als een “multidisciplinaire superman of superwoman”. Mijn onderzoek gaat na wat het profiel is van de FG aan de hand van een analyse van de managementrollen en de verantwoordelijkheden van de FG. Het profiel van de FG wordt getoetst aan andere vergelijkbare managementfuncties in een organisatie. Er werd onderzoek gevoerd aan de hand van interviews met experten in de Algemene Verordening Gegevensbescherming (AVG) en een jobadvertentie-analyse.
Toetsing van de Functionaris voor Gegevensbescherming aan de vergelijkbare managementfuncties
De laatste maanden kregen we allemaal wel eens een e-mail van een organisatie met de vraag of ze onze persoonsgegevens mochten gebruiken. De e-mails werden verstuurd door de Functionaris voor Gegevensbescherming (FG) om de rechten van het gegevenssubject te respecteren. Gegevenssubjecten zijn natuurlijke personen zoals jij en ik waarvan persoonlijke gegevens bewaard worden.
De Functionaris voor Gegevensbescherming (FG) benadrukt in een organisatie het belang van gegevensbescherming en onderlijnt de rechten van de gegevenssubjecten zoals die beschreven zijn in de AVG. Een Chief Privacy Officer (CPO) handelt daarentegen eerst vanuit het perspectief van de organisatie bij het opstellen van een beleid rond privacy en gegevensbescherming.
Figuur 1: Rol van de CPO vergelijken met de rol van de FG
De privacycommissie is bij de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) omgevormd tot de Gegevensbeschermingsautoriteit (GBA). De GBA controleert of de AVG wordt nageleefd bij organisaties in België en heeft een sanctionerende bevoegdheid. De Functionaris voor Gegevensbescherming (FG) kan hierdoor, in tegenstelling tot de Chief Privacy Officer (CPO), de verplichtingen uit de AVG afdwingen in een organisatie.
De Functionaris voor Gegevensbescherming (FG) is zoals de Chief Information Officer (CIO) betrokken bij alle bedrijfsprocessen en oefent eveneens een invloed uit op de bedrijfsstrategie. De FG voert in samenwerking met een interne auditor onafhankelijk en objectief controle uit op de werking van de bedrijfsprocessen. De FG controleert of de bedrijfsprocessen in lijn zijn met de Algemene Verordening Gegevensbescherming (AVG). De FG introduceert samen met de Chief Information Security Officer (CISO) informatiebeveiliging in een organisatie en zorgt voor de nodige bewustwording rond gegevensbescherming. De FG legt, in tegenstelling tot de CISO, vooral een nadruk op de noodzakelijke investeringen voor de naleving van de AVG.
De kennis en de verantwoordelijkheden van de Functionaris voor Gegevensbescherming
Uit mijn onderzoek blijkt dat zowel de bedrijven die op zoek zijn naar een Functionaris voor Gegevensbescherming (FG) als de experten in de Algemene Verordening Gegevensbescherming (AVG) aangeven dat juridische kennis alleen niet voldoende is om als FG te functioneren in een organisatie.
Een expert in de Algemene Verordening Gegevensbescherming (AVG) beschrijft de Functionaris voor Gegevensbescherming (FG) in een interview als een schaap met vijf poten. Er wordt in de interviews aangegeven dat de FG juridische kennis bezit, maar eveneens kennis bezit van informatietechnologie (IT) en van de bedrijfsprocessen in een organisatie. Uit de jobadvertentie-analyse blijkt dat bedrijven een jurist aanduiden als FG, maar er wordt eveneens benadrukt in de jobadvertenties dat IT-technische en economische kennis onderdeel uitmaken van de functie.
Figuur 2 geeft een overzicht van de verantwoordelijkheden (rechthoeken) en de kennis (ovalen) van de Functionaris voor Gegevensbescherming (FG) in relatie tot de vergelijkbare managementfuncties. Figuur 2 geeft weer dat de FG juridische en IT-technische kennis bezit om de functie uit te voeren. De FG hanteert de nodige managementkwaliteiten en de economische kennis om als leider de implementatie van de Algemene Verordening Gegevensbescherming (AVG) in een organisatie te begeleiden.
Figuur 2 geeft aan dat de Functionaris voor Gegevensbescherming (FG) controle uitvoert en advies verleent over de naleving van de Algemene Verordening Gegevensbescherming (AVG). De FG creëert bewustwording rond privacy en gegevensbescherming aan de hand van opleidingen. De verplichtingen in de AVG worden door de FG in het beleid van een organisatie verwerkt.
Figuur 2: Overzicht van de rol van de functionaris voor gegevensbescherming in een organisatie
Het profiel van de Functionaris voor Gegevensbescherming
De Functionaris voor Gegevensbescherming (FG) is een multidisciplinaire manager die intern en extern een vertegenwoordiger is voor de implementatie van de Algemene Verordening Gegevensbescherming (AVG) in een organisatie. De FG zal een informatieve, strategische en diplomatische rol op zich nemen. De FG adviseert preventief en proactief over de naleving van de Algemene Verordening Gegevensbescherming (AVG) in een organisatie.
De Functionaris voor Gegevensbescherming (FG) is een schaap met vijf poten omdat verwacht wordt dat de FG adviezen verleent over de Algemene Verordening Gegevensbescherming (AVG) die betrekking hebben op de verschillende departementen in een organisatie. De FG is een ‘superman of superwoman’ omdat het profiel verantwoordelijkheden en kennis bezit die meestal niet door één persoon kunnen worden ingevuld. In de praktijk blijkt vooral dat de FG niet ingevuld wordt door één persoon, maar door een team van experten in een bepaald domein.
