Wat doet een privacy officer eigenlijk?

Sinds 25 mei 2018 geldt in Nederland de Algemene verordening gegevensbescherming (AVG), een wet die de omgang met persoonlijke gegevens regelt. Deze wet is in het leven geroepen omdat er steeds meer persoonlijke gegevens over het internet en social media gaan. In organisaties is de directie verantwoordelijk om de AVG na te leven en persoonsgegevens te beheren. Vaak hebben ze daarbij de hulp nodig van een medewerker, die we de privacy officer noemen. In bepaalde situaties is het zelfs wettelijk verplicht om een functionaris gegevensbescherming, ofwel data protection officer (DPO), aan te stellen. In dit artikel bespreken we de taken en verantwoordelijkheden van een privacy officer, waar je ze meestal tegenkomt en wat ze precies doen. 

Bij welke bedrijven zie je een privacy officer typisch voorbijkomen? 

privacy officers kom je tegen in allerlei soorten organisaties, van kleine bedrijven tot grote multinationals. Of ze er zijn, hangt meestal af van hoeveel data de organisatie verwerkt. Je vindt ze bijvoorbeeld bij grote techbedrijven zoals Facebook en Google, waar online privacy hoog in het vaandel staat. Maar ook bij financiële instellingen zoals banken en verzekeringsmaatschappijen, gezondheidszorgorganisaties zoals ziekenhuizen, overheden en online winkels. Hoewel de verplichting om een privacy officer aan te stellen kan verschillen, is het voor alle organisaties slim om iemand te hebben die zich bezighoudt met privacy en gegevensbescherming. Dit is belangrijk omdat de maatschappelijke impact en de risico’s van het niet naleven van de AVG steeds groter worden. 

Wat is het verschil met de Functionaris Gegevensbescherming? 

Ken jij het verschil tussen een privacy officer (PO) en een functionaris gegevensbescherming (DPO)? Beide rollen hebben tot doel ervoor te zorgen dat privacywetten worden nageleefd en advies te geven aan het management, maar er zijn belangrijke verschillen. Allereerst is het bij de AVG wettelijk verplicht om een DPO te hebben, terwijl dit voor een PO meestal niet zo is. Een DPO moet ook onafhankelijk van het management kunnen werken en geen instructies van hen ontvangen over hoe hij zijn werk moet doen. Een PO kan daarentegen wel instructies van hogerop krijgen en heeft meestal een ondersteunende en adviserende rol. Bovendien rapporteert de DPO rechtstreeks aan het management en houdt toezicht op de naleving van privacywetten, terwijl de PO meestal een meer praktische en operationele rol binnen de organisatie heeft en niet rechtstreeks aan het management rapporteert. In sommige organisaties kunnen beide rollen worden gecombineerd, maar het is belangrijk om rekening te houden met de wettelijke vereisten en de vereiste onafhankelijkheid. 

Zijn bedrijven verplicht om een privacy officer te hebben? 

In tegenstelling tot de verplichte functionaris gegevensbescherming (DPO), hoeven bedrijven meestal geen privacy officer in dienst te nemen. De AVG legt alleen de verplichting op om een DPO aan te stellen voor bepaalde organisaties, zoals overheidsinstanties en bedrijven die veel gevoelige persoonlijke gegevens verwerken. Maar gezien de groeiende bezorgdheid in de samenleving over privacy en de mogelijke gevaren als je de AVG niet naleeft, kiezen veel organisaties er toch voor om een privacy officer aan boord te hebben. Zo kunnen ze actief de privacy van hun klanten en medewerkers beschermen en boetes en reputatieschade vermijden. 

Wat staat er in de AVG rondom de taken en verantwoordelijkheden van een privacy officer? 

De AVG bevat geen specifieke richtlijnen voor de taken en verantwoordelijkheden van een privacy officer. Het benadrukt echter wel het belang van gegevensbescherming binnen organisaties. Over het algemeen houdt een privacy officer toezicht op de legitieme en wettelijke verwerking van persoonsgegevens. Ze geven advies aan het personeel, ontwikkelen en onderhouden het privacybeleid, beheren datalekken, organiseren trainingen, werken samen met toezichthoudende autoriteiten, voeren risicobeoordelingen en interne audits uit, promoten ‘Privacy by Design’, en werken samen met belanghebbenden om ervoor te zorgen dat privacykwesties serieus worden genomen. Het algemene doel is ervoor te zorgen dat persoonsgegevens met zorg en in overeenstemming met de wet worden behandeld. 

Ontwikkelingen die de opkomst van privacy officers hebben beïnvloed 

De opkomst van privacy officers is de afgelopen jaren gestimuleerd door verschillende ontwikkelingen, waarvan de implementatie van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 een van de belangrijkste is. De AVG legt strikte regels op aan organisaties over hoe ze persoonsgegevens moeten behandelen en beveiligen. Dit heeft de vraag doen toenemen naar experts die organisaties kunnen begeleiden bij het naleven van deze regels en het beschermen van individuele privacy. Bovendien hebben grote datalekken, zoals het Cambridge Analytica-schandaal, de aandacht voor privacykwesties vergroot en organisaties aangespoord om privacy officers in te schakelen om dergelijke incidenten te voorkomen. 

Een typische werkdag/-week van een privacy officer 

Een privacy officer heeft een gevarieerde rol. Op een gewone werkdag houden ze toezicht op hoe gegevens worden verwerkt in een organisatie, geven ze advies aan medewerkers over privacykwesties, zorgen ze voor de juiste contracten met externe partijen, en coördineren ze het proces wanneer er datalekken zijn. Daarnaast kunnen ze betrokken zijn bij projecten waar privacyrisico’s moeten worden beoordeeld en voeren ze Data Protection Impact Assessments (DPIA) uit. Soms geven ze trainingen en cursussen over privacy, en fungeren ze als contactpersoon voor mensen van wie de gegevens worden verwerkt en voor de Autoriteit Persoonsgegevens. 

Vooropleiding voor een privacy officer 

Om een privacy officer te worden, heb je meestal een relevante opleiding en ervaring nodig. Veel privacy officers hebben een hbo- of universitaire opleiding gevolgd in informatiebeveiliging, privacyrecht of iets vergelijkbaars. Het is handig om bekend te zijn met juridische termen. Enige technische achtergrond kan ook van pas komen. Belangrijk is dat je sterke analytische en communicatieve vaardigheden hebt, omdat je privacywetten moet kunnen begrijpen en in de praktijk moet brengen. Privacy officers worden steeds belangrijker in onze digitale wereld.