De deadline van 25 mei nadert met rasse schreden en bedrijven stellen alles in het werk om zich in regel te stellen met de nieuwe Algemene Verordening Gegevensbescherming (AVG/GDPR) die door de Europese Unie werd ingevoerd. Deze verordening verplicht bedrijven om iemand aan te duiden die verantwoordelijk is voor gegevensbescherming (DPO).
Op het kruispunt van de vakgebieden IT, wetgeving, kwaliteit, HR en financiën, zal de DPO (Data Protection Officer) moeten zorgen voor de implementatie van een nieuwe bedrijfscultuur met betrekking tot het beheer van de gegevens binnen zijn of haar organisatie. De DPO moet helpen een antwoord te bieden op de groeiende vraag naar transparantie van diverse betrokken partijen (autoriteiten, klanten, medewerkers, leveranciers, enz.). Een ‘trendy baan’ in het digitale tijdperk… maar nu al is er een tekort?
Welke bedrijven moeten een Data Protection Officer aanwerven?
A priori heeft deze nieuwe functie reden van bestaan in alle organisaties. De beslissing om echt een functie te creëren zal echter afhangen van de omvang van het bedrijf, van de complexiteit en van het gevoelige karakter van de opgeslagen of verwerkte gegevens, of van de bedrijfsactiviteit. Bedrijven moeten het risico evalueren en beheren. De recente ‘Cambridge Analytica’-crisis die Facebook meemaakte, heeft aangetoond hoe groot de impact kan zijn op de reputatie van bedrijven.
Wat zijn de taken van de DPO?
Hoewel artikel 37 van GDPR de formele identificatie van een verantwoordelijke voor gegevensbeschermingskwesties oplegt, biedt de tekst geen volledige beschrijving van de functie, enkel de minimale vereisten. De DPO is de rechterhand van de directie maar ook het officiële contactpunt tussen het bedrijf en de bevoegde autoriteiten – en vanaf 25 mei zal dat de Gegevensbeschermingsautoriteit zijn. Geert Vaerenberg, directeur van Experis Belgium (ManpowerGroup), verwoordt het als volgt : “De verantwoordelijkheden van de DPO zijn vrij ruim. Hij of zij zal een cultuur moeten implementeren die garandeert dat de gegevens correct beschermd worden. Daartoe verleent de DPO strategisch advies op managementniveau, en implementeert de DPO op niveau van de werknemers audits, procesverbeteringen, opleiding en informatie-initiatieven. De DPO rol heeft ook een externe component. Hij of zij zal de gesprekspartner zijn die moet reageren op externe verzoeken rond transparantie, transfer van data, en het recht om vergeten te worden. De DPO moet ook elk incident waarbij de gegevensbescherming werd gecompromitteerd melden bij de autoriteiten en bij diegenen wiens data in het incident betrokken waren”.
Wat is het ideale profiel?
De DPO-rol kan worden ingevuld door een speciaal hiervoor opgeleid personeelslid, of door een externe consultant. Belangrijk is echter te erkennen dat de rol zich bevindt op het kruispunt van verschillende competentiedomeinen (waaronder IT, wetgeving, kwaliteit, HR en financiën) .Naast de technische kwesties die dit nieuwe profiel onder de knie moet krijgen, moet de Data Protection Officer ook over essentiële interpersoonlijke kwaliteiten beschikken. Geert Vaerenberg: “het recente onderzoek van ManpowerGroup naar de digitalisering van de economie heeft het belang van soft skills onderstreept. Dit zien we bevestigd in het profiel van de DPO. Omdat gegevensbescherming in de eerste plaats een verandering in de houding en de gewoonten van elke individuele werknemer vereist, moet het hele traject breed gezien worden als een cultuur-transformatie, niet als een technisch IT-project zoals sommigen misschien denken”. Hij of zij zal dus niet enkel aantoonbare kennis moeten hebben van de betrokken wetgeving, en ervaring moeten hebben in audit- en projectbeheer. Omwille van de kruispunt-rol zal de DPO ook moeten beschikken over empathie, communicatievaardigheden, samenwerkingsvermogen, ethiek en integriteit.
Vandaag al een knelpuntberoep ?
Het is moeilijk in te schatten hoeveel DPO-functies er daadwerkelijk zullen worden gecreëerd. In 2016 werd op basis van een onderzoek geschat dat er in Europa 28.000 van dergelijke jobs zouden worden gecreëerd.“Onze ervaring op het terrein leert dat de job van DPO vandaag al karakteristieken van een knelpuntberoep vertoont. Dat is niet verwonderlijk want zoals reeds vermeld heb je iemand nodig met een brede waaier aan talenten. Aan wie kan je een dergelijk multidimensionaal project toevertrouwen? Hoe vinden we de juiste DPO die met succes de transformatie van de bedrijfscultuur kan initiëren, en die ervoor zorgt dat de genomen maatregelen ook duurzaam verankerd worden in de bedrijfsprocessen ?” legt Geert Vaerenberg verder uit.