De Privacy Officer: aannemen of inhuren?
De rol van de Privacy Officer
Sinds de invoering van de Algemene Verordening Gegevensbescherming (vanaf nu: AVG) in mei 2018, zijn organisaties onder bepaalde voorwaarden verplicht een Functionaris Gegevensbescherming (FG) aan te stellen. Volgens de definitie van de Autoriteit Persoonsgegevens, is dit ‘iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.’ Hij of zij is daarmee in ieder geval eerste aanspreekpunt binnen de organisatie en richting de AP, op het vlak van privacy gerelateerde vraagstukken. Wij zien dat de invulling van de rol per organisatie nog wel kan verschillen.
Afhankelijk van de grootte van een organisatie, zien we dat er organisaties zijn die naast de FG, een aparte adviserende rol aanwijzen: de Privacy Officer. In deze organisaties adviseert de Privacy Officer vanuit bedrijfsbelang over de omgang met privacygevoelige informatie en oordeelt de Functionaris Gegevensbescherming in hoeverre dat advies conform de AVG is. In de meeste organisaties zien we echter dat er één persoon verantwoordelijk is en dus zowel de initiërende, adviserende als controlerende rol speelt. Ons artikel is dan ook op dat profiel gericht: de homo universalis van de privacy. We leggen je graag meer uit over zijn of haar ideale profiel en helpen je een betere afweging te maken tussen het inlijven of inhuren van een Privacy Officer.
Homo universalis
Zoals gesteld; we zien eigenlijk vaak dat de Privacy Officer aanspreekpunt is voor alle privacy gerelateerde onderwerpen in een organisatie. Daarmee wordt de PO de kartrekker, initiator én bewaker van all things privacy in je bedrijf. Het vergt een bepaald profiel, om goed binnen dat spanningsveld te kunnen opereren. We sommen de belangrijkste eigenschappen voor je op:
#1 Kennis up to date
De wereld van de privacy is continu in beweging. Er ontstaan nieuwe risico’s. Er ontstaat jurisprudentie. En wet- of regelgeving is ook aan verandering onderhevig. Om als organisatie structureel een goede omgang met privacy te borgen, heb je een expert nodig. Iemand die in staat is om processen continu tegen het licht te houden, met aandacht voor de laatste ontwikkelingen.
#2 Pragmatisch kunnen vertalen
Een goede Privacy Officer dient regelmatig als tolk. Het juridisch jargon moet worden vertaald naar begrijpelijke taal voor werknemers én naar pragmatische processen. Want wat betekent het recht om vergeten te worden nu precies voor de datastromen in jouw organisatie?
#3 Bedrijfsbelang begrijpen
Wet is één. Interpretatie is twee. Maar dan is vervolgens het ene bedrijf het andere niet. Organisaties hebben baat bij een Privacy Officer die de specifieke bedrijfsbelangen goed laat meewegen in het privacybeleid. Iemand die begrijpt wat het snijvlak is tussen enerzijds conform wet- en regelgeving handelen, maar anderzijds ook processen behapbaar en passend bij de organisatie te houden.
#4 Technisch onderlegd
Naast kennis van wet- en regelgeving, goed kunnen tolken en een bedrijfskundig inzicht, beschikt een goede Privacy Officer ook affinitieit met het IT landschap. Welke tools vormen een potentieel risico voor de privacy? Welke software kan bijdragen aan het transparanter maken van de omgang met gegevens?
Ook op het gebied van de informatietechnologie gaan de ontwikkelingen razendsnel. Organisaties hebben dan voordeel van een tech savy persoon aan het privacy roer, zodat de techniek voor je blijft werken, in plaats van tegen je.
Fijn, zo’n Privacy Officer in dienst
Mooi. We hebben dus een profiel. En je hebt ook nog eens de juiste kandidaat gevonden. Wat zijn dan de voordelen? Met het inlijven van een Privacy Officer kun je ervoor zorgen dat je vraagstukken omtrent privacy laagdrempelig kunnen worden aangepakt. Er is een kantoor waar je kunt binnenlopen, een bekend gezicht en duidelijke go-to-guy-or-girl voor het onderwerp. Bovendien zal een eigen Privacy Officer goed in staat zijn om het bedrijfsbelang te laten wegen. Hij of zij bevindt zich dagelijks temidden van de bedrijfsprocessen en is bij uitstek in staat om de impact van wijzigingen in te schatten. Het kennen van de nuances en het kennen van je organisatie, draagt bij aan nog betere vertaling van de wetgeving naar een praktisch toepasbaar proces.
Of toch niet?
Het aantal beschikbare kandidaten is überhaupt klein. De functie is relatief nieuw en daarmee hebben je mogelijke kandidaten nog maar een korte periode gehad om een track record op te bouwen. De vijver om uit te vissen wordt nog een stukje kleiner als je op zoek gaat naar het specifiek geschetste profiel. Als je dus wilt gaan inlijven, dan kun je meteen al aanlopen tegen het feit dat de mensen er niet zijn, of je teveel concessies moet gaan doen aan je profiel. Maar stel, je hebt dat schaap met de vijf poten wel gevonden, dan zijn er nog wat uitdagingen denkbaar. Zo hebben al je eigen medewerkers in meer of mindere mate te maken met bedrijfspolitiek. Diezelfde directeur die je na heftige discussies hebt kunnen overtuigen van het doen van een forse investering in gegevensbescherming, is verantwoordelijk voor de uitkomst van je salarisgesprek.
We zien in kleinere organisaties dat het onderhouden van privacy gerelateerde processen geen dagtaak hoeft te zijn, maar dat wel kan zijn. Hierdoor nemen veel organisaties een Privacy Officer aan voor een aantal uren dat niet toereikend blijkt bij een piekbelasting, zoals bij een grootschalig datalek. Of de functie van Privacy Officer wordt ingericht als duo-baan in combinatie met een andere functie, waarbij soortgelijke problemen bij pieken ontstaan, of belangenverstrengeling op de loer kan liggen.
Tot slot is de wereld van wet- en regelgeving er eentje van bijhouden. Aanpassingen, het ontstaan van jurisprudentie en nieuwe inzichten; je moet blijven investeren in de ontwikkeling van je Privacy Officer en dat is een investering die verder gaat dan het overmaken van het maandelijkse salaris alleen.
Fijn, zo’n ingehuurde Privacy Officer
Wanneer je kiest voor het inhuren van een Privacy Officer, kies je voor een schaalbaar model. Is er meer vraag, dan huur je meer uren in, is er minder vraag dan breng je de uren weer omlaag. Een externe partij heeft ook een intrinsieke motivatie om de kennis up to date te houden. Jij leunt immers op de expertise van je ingehuurde Privacy Officer en daarmee is zijn of haar kennis van directe invloed op jouw beleving van de dienstverlening. Bovendien haal je een onafhankelijke beoordelaar binnen, wars van bedrijfspolitiek, maar wel met oog voor bedrijfsbelangen.
Tot slot, vrijwaar je jezelf van de perikelen rondom de zoektocht naar een geschikte kandidaat, of het binden en boeien van je eigen PO: want dat er hem of haar een aanbod gedaan gaat worden door een concurrent, is slechts een kwestie van tijd. Een dienst neem je af. Totdat jij besluit hem niet meer af te nemen. Zo houd je de regie op je privacy, zonder onverwachte wendingen door invloeden van buitenaf.
Of toch niet?
Natuurlijk kun je ook hier nadelen ervaren. Met een extern verantwoordelijke zul je meer tijd moeten besteden om het bedrijfsbelang helder te krijgen. Want dat wat in het DNA van je organisatie zit, heeft wellicht tijd nodig om te beklijven bij je ingehuurde Privacy Officer. Bovendien zit een de ingehuurde PO niet dagelijks bij je op kantoor. Dat kan vanuit financieel oogpunt misschien interessant zijn, maar men kan daardoor wel een hogere drempel ervaren om advies in te winnen. Ook kan het gevoel ontstaan dat daardoor de communicatielijnen langer zijn; er is niet veel sneller dan rechtstreeks face to face contact met een collega.
Als je het ons vraagt
Wij geloven in de schaalbaarheid, onafhankelijkheid en expertise die je in kunt schakelen door de Privacy Officer als een service in te huren. Bij MnP besteden we zorgvuldig tijd aan het ons eigen maken van het DNA van je organisatie. Zonder onze onafhankelijkheid daarbij te verliezen. We maken duidelijk afspraken over hoe de communicatiestromen lopen en zijn veelvuldig in je bedrijf aanwezig.
Zo zorgen we ervoor dat je medewerkers een gezicht krijgen bij de Privacy Officer én verlagen we de drempel om contact te leggen. We kiezen voor een pragmatische aanpak, waarbij we kijken naar hoe we specifiek voor jouw organisatie passende privacy processen kunnen inrichten. Zodat de business doordraait en de gegevens beschermd blijven.
Op zoek naar antwoorden op het gebied van privacy? Neem contact met ons op!