‘Ik word elke week tien keer gebeld door recruiters’

De opkomst van de functionaris gegevensbescherming

De deadline voor de AVG nadert. De nieuwe Europese privacywet leidt tot een enorme vraag naar functionarissen voor de gegevensbescherming. Zij vervullen immers een sleutelrol in de naleving van de AVG. Hoe kijkt data protection officer Marc French van Mimecast tegen de FG-functie aan? En wat is volgens hem de impact van de AVG op de organisatie?

Vanaf 25 mei 2018 moeten alle organisaties die persoonsgegevens van EU-burgers verwerken aan nog strengere privacyregels voldoen. Een van de belangrijkste veranderingen ten opzichte van de huidige Wet bescherming persoonsgegevens (Wbp) is dat een groot aantal organisaties onder de Algemene verordening gegevensbescherming (AVG) verplicht is een FG aan te stellen.

Een FG - de Nederlandse term voor data protection officer (DPO) - is een interne privacytoezichthouder. Hij of zij controleert of de AVG binnen de organisatie wordt toegepast en nageleefd. De FG biedt bijvoorbeeld ondersteuning bij privacyaudits, traint medewerkers op het gebied van privacy en treedt op als contactpersoon voor de Europese toezichthouders.

FG’s zijn zeer gewild

De verplichte FG geldt onder andere voor alle overheidsinstanties en publieke organisaties, zoals scholen en zorginstellingen. Maar ook voor organisaties die als kernactiviteit op grote schaal individuen volgen of bijzondere persoonsgegevens verwerken. Banken, retailers, technologiebedrijven en marketingbureaus: allemaal moeten ze de afweging maken of een FG nodig is.

Volgens schattingen van de International Association of Privacy Professionals (IAPP) zijn er alleen al in Europa en de VS meer dan 28.000 FG’s nodig. Wereldwijd zijn dat er zelfs 75.000. Het gevolg is dat er flink wordt getrokken aan de beschikbare FG’s. Zelfs grote bedrijven als Uber, Facebook, Microsoft en Airbnb hebben (of hadden tot voor kort) een openstaande FG-vacature.

Tijd begint te dringen

“Ik word elke week zo’n acht tot tien keer gebeld door recruiters”, vertelt Marc French, die bij e-mailbeveiligingsspecialist Mimecast de functie van FG combineert met zijn taken als senior vicepresident. “Sinds januari gaat de telefoon steeds vaker. Het lijkt erop dat iedereen zich opeens realiseert: ‘O mijn god, over drie maanden moeten we al klaar zijn voor de AVG’.”

French besteedt momenteel zo’n 65 procent van zijn tijd aan de AVG. “Ik houd bij of er nieuwe AVG-richtlijnen zijn, overleg met ontwikkelaars over het waarborgen van privacy in nieuwe productfuncties en beoordeel verzoeken tot dataverwerking van de marketingafdeling. Ook werk ik aan ons privacybeleid en voer ik gesprekken met klanten over onze omgang met de AVG en privacy.”

Informatiebeveiliging en privacyrecht

“Het is een interessante rol waarin informatiebeveiliging en het privacyrecht samenkomen”, zegt French, die een achtergrond als CISO heeft. “Privacy was altijd het domein van juristen, maar ik denk dat organisaties de AVG nu te veel vanuit juridisch perspectief benaderen. Dat terwijl de implementatie van technische en organisatorische maatregelen even belangrijk is.”

Tegelijkertijd mogen de strikt juridische elementen volgens hem niet worden onderschat. “Ik ben zelf geen jurist, dus ik heb een privacyjurist tot mijn beschikking die dat aspect voor zijn rekening neemt. Maar die persoon gaat bijvoorbeeld geen privacytrainingen geven of datalekken melden aan de toezichthouder en de betrokkenen. Als FG moet je dus van meerdere markten thuis zijn.”

Meldplicht datalekken

French benadrukt dat de zoektocht naar een FG niet de enige uitdaging is die de AVG met zich meebrengt. “Hoewel Nederland al langer een meldplicht datalekken kent, wordt de impact nog altijd onderschat. Bij voorkeur stel je de toezichthouder binnen 72 uur op de hoogte van een datalek. Maar een partner kan ook schuldig zijn aan een lek. Als verantwoordelijke moet je snel kunnen bepalen waar in je supplychain de fout zit.”

“Dit betekent dat je bij een datalek de hele keten inzichtelijk moet hebben”, vervolgt de FG van Mimecast. “Je hebt in totaal 72 uur om informatie op te halen bij contactpersonen in je supplychain, anders kun je als verantwoordelijke niet op correcte wijze melding doen bij de toezichthouder. Zonder de juiste voorbereidingen komt een gemiddeld bedrijf al gauw in tijdnood.”

Meer nodig dan alleen automatisering

Het is slechts een voorbeeld van het extra werk dat de AVG oplevert. Volgens French kan technologie, zoals tooling voor het opzetten en bijhouden van een verwerkingsregister, uitkomst bieden. “Absoluut, het is te veel werk om alleen door mensen te laten uitvoeren. Maar automatisering kan niet alle menselijke taken overnemen. Bovendien beschikt slechts een deel van de organisaties over deze technologie.”

“Voor de gemiddelde organisatie is AVG-compliance een handmatig proces”, stelt French. “Wij hebben het geluk dat we een securitybedrijf zijn. We hebben technologie, tools en mensen in huis die het makkelijker maken. Maar voor een typisch productiebedrijf dat spullen aan EU-burgers verkoopt, ligt dat natuurlijk anders. Daar moet het meeste werk handmatig gebeuren.”

Coulantie in het begin

Op overtredingen van de AVG staat een maximale boete van 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. French verwacht niet dat er meteen boetes uitgedeeld worden. “Dit is speculatie, maar het lijkt me dat de toezichthouder in eerste instantie coulant zal zijn. Logisch, want uit onderzoek blijkt dat minder dan de helft van de organisaties op 25 mei klaar is voor de AVG.”

“Het is mogelijk dat ze aan het einde van de zomer een voorbeeld stellen. Waarschijnlijk richten ze hun pijlen op een grote Amerikaanse multinational. Interessant genoeg zijn die bedrijven juist het beste voorbereid op de AVG. Ik vermoed dat de eerste boete niet naar de Microsofts, Amazons of Googles van deze wereld gaat, maar naar een bedrijf in de categorie daaronder.”