Het is een opkomend beroep. Tegelijk is de data protection officer (dpo) moeilijk te vinden. Wie wil of moet dpo zijn?
Enkele weken geleden stelde de politie een vacature open voor een privacy/data protection officer. En wie een beetje rondsurft, merkt nog altijd veel openstaande job voor dpo’s of gelijkaardige functies in ons land.
België telt officieel zesduizend dpo’s, volgens officiële registraties van de GBA (Gegevensbeschermingsautoriteit). Dat blijkt uit navraag van Computable.
Wie is het best dpo?
Wie komt er in een bedrijf in aanmerking als dpo, in combinatie met een andere job? ‘Het moet iemand zijn die onafhankelijk van het topmanagement kan werken’, stelt Jan-Maarten Willems van adviesbureau BearingPoint, die zelf als externe dpo actief is bij een aantal organisaties.
Dat betekent, volgens Willems, alvast geen ‘c-level’-functie maar ook lagere functies in een organisatorische structuur kunnen hier uit de boot vallen.
Misschien nog het meest in aanmerking, volgens Willems, komt iemand uit het juridische departement, uit het datateam of iemand uit de ‘business’ met een duidelijk analytische achtergrond. ‘Al is het altijd de vraag binnen de organisatie of iemand van daaruit de rol van dpo op zich wil nemen.’
Wie is het (zeker) niet?
Enkele maanden geleden legde de GBA een recordboete op aan Proximus. Het ging om een belangenconflict in hoofde van de dpo. Die hield er nog andere taken op na.
Proximus ging nadien in beroep, op deze beslissing. Maar de lijn is duidelijk: De functionaris voor gegevensbescherming, de dpo dus, kan binnen de organisatie geen functie bekleden waarbij hij doelstellingen en middelen voor de verwerking van persoonsgegevens mee moet bepalen. ‘Je kan inzake dataverwerking geen rechter en partij tegelijk zijn’, vat Willems het samen.
Wie moet een dpo aanstellen?
Dat is soms nogal voer voor discussie. De eerste richtlijn is nog duidelijk: als de verwerking van de data wordt verricht door een overheidsinstantie of overheidsorgaan. Gerechten in de uitoefening van hun rechterlijke taken zijn wat dat betreft een uitzondering.
Maar het is niet zo dat de GDPR-wetgeving elke verantwoordelijke verplicht een dpo aan te stellen, vult Peter Witsenburg, medeauteur van het grote GDPR-handboek.
Tijdens de voorbereidende besprekingen leek het er, zo merkt Witsenburg op, lange tijd op dat de verplichting zou gelden voor alle firma’s met minstens 250 werknemers. ‘Deze bepaling is echter niet overeind gebleven. De verplichting is nu eerder gebaseerd op de aard van de onderneming. Als er bij de activiteiten van een organisatie een reëel risico op ernstige inbreuken tegen de privacy bestaat, moet er een dpo zijn die zorgt dat je in regel bent met de wetgeving.’
Wat doet corona?
Het hangt dus niet af van de grootte van de organisatie, maar wel hoe die met data moet omgaat. Al is het voor veel bedrijven niet meteen een functie waar zij bewust voor kiezen.
Vraag is wat corona doet. Veel bedrijven gaan de komende weken en maanden willen besparen, klinkt het, niet in het minst op functies die niet direct een aantoonbare opbrengst hebben. En wil de dpo eigenlijk nu net zo’n functie zijn.