‘Iedereen kan zich privacymanager noemen'

Eén jaar na de introductie van GDPR (voor General Data Protection Regulation), vragen bijzonder weinig burgers om hun gegevens in te kijken bij bedrijven. ©ANP XTRA

Elke maand staan bij Belgische bedrijven gemiddeld honderd vacatures voor privacymanager open. Sinds de invoering van de Europese privacyregels een jaar geleden is het een knelpuntberoep. Maar zonder wettelijk kader staat de deur open voor charlatans.

Op 25 mei 2018 werden in de Europese Unie strengere regels rond databescherming van kracht. GDPR (voor General Data Protection Regulation) was toen het meest gevreesde vierletterwoord in bedrijven. Het idee achter de regels was dat de burger weer controle kreegn over zijn data.

Een jaar later heeft de berg een muis gebaard. Bedrijven zoals Telenet bevestigen dat nog maar weinig klanten vragen om hun data in te kijken. De gevreesde monsterboetes (tot 4 procent van de wereldwijde omzet) bleven ook uit, omdat de bevoegde Gegevensbeschermingsautoriteit (GBA) nog geen nieuwe directie had.

Toch staat GDPR nog altijd hoog op de agenda van bedrijven. Sinds 25 mei vorig jaar moeten bedrijven die data verwerken een 'data protection officer' (DPO) hebben. Elke maand staan nog gemiddeld honderd vacatures open voor zo’n privacymanager, blijkt uit cijfers van het consultancykantoor BDO.

Het legertje privacymanagers bij de Belgische bedrijven en overheden blijft zo fors aangroeien. Bij de GBA zijn op dit moment 4.397 privacymanagers aangemeld. Zij zijn het aanspreekpunt voor de buitenwereld in het geval van een datalek waarbij persoonsgegevens verloren gaan of als er klachten binnenlopen over praktijken van het bedrijf. Volgens BDO is het aantal privacymanagers in een jaar met 72,3 procent gestegen.

Gecertifieerd

Maar geen van die privacymanagers is gecertifieerd om de job uit te oefenen. Dat kan ook niet, want de GBA stelde nog geen vereisten op voor die job. Als een privacymanager aangemeld wordt bij de GBA is er ook geen aparte screening van de persoon in kwestie. Dat maakt dat de functie, nochtans verplicht in veel bedrijven, niet gereguleerd is.

GDPR was vorig jaar het meest gevreesde vierletterwoord in bedrijven. Een jaar later heeft de berg een muis gebaard.

Uittredend staatssecretaris voor Privacy Philippe De Backer (Open VLD) toonde zich de afgelopen jaren vragende partij voor een vorm van certifiëring. Hij herhaalt dat pleidooi. ‘De GBA zou enkele opleidingen, academisch dan wel commercieel, kunnen doorlichten, zodat die gemachtigd zijn gecertifieerde privacymanagers af te leveren.’ Dat neemt de druk van de GBA weg om iedereen apart te certifiëren.

In de sector leeft de vrees dat het huidige klimaat van hoge nood zonder regulering de deur openzet voor charlatans. ‘We zien hoe mensen misbruik maken van de hype en zich met een beperkte opleiding opwerpen als privacymanager’, zegt Matthias Vierstraete, advocaat bij Laga en expert in de materie. ‘Iedereen kan zich vandaag eigenlijk zo noemen. En bedrijven missen vaak de expertise om zulke figuren daarop uit te dagen.’

Onderschat

In ons land leiden al onderwijsinstellingen privacymanagers op. Het gaat bijvoorbeeld om het Data Protection Institute (DPI) uit Kontich, de Solvay Business School, en Howest uit Kortrijk. De afgestudeerden daar krijgen alleen een officieus certificaat. Aan Howest volgden de voorbije twee jaar telkens 30 à 40 studenten het ‘postgraduaat data protection officer’, voornamelijk kandidaten met een IT-achtergrond of uit de juridische sfeer.

De kwaliteit van het geleverde werk van privacymanagers is te laag. Een wettelijke kader zou beterschap brengen.
Stephanie Witters
GDPR-experte

Voor Stephanie Witters, verantwoordelijke voor de opleiding aan Howest, is de komst van een wettelijk kader een must. ‘De benodigde competenties en de bevoegdheden van een privacymanager staan weliswaar omschreven in de wet, maar bedrijven onderschatten die toch’, zegt ze. ‘Een wettelijk kader voor de functie zou de aandacht voor privacy nog verhogen. De kwaliteit van het geleverde werk is nu heel laag.’

Geen prioriteit

De Gegevensbeschermingsautoriteit ziet de certifiëring van privacymanagers voorlopig niet als een prioriteit. De waakhond werkt nog aan zijn strategisch plan, maar is ook beducht om privacymanagers allerlei vereisten op te leggen. ‘De invulling van privacy en databescherming varieert van bedrijf tot bedrijf’, zegt voorzitter David Stevens. Het heeft volgens hem weinig zin regeltjes op te leggen waaraan privacymanagers in elk bedrijf moeten voldoen.

De waakhond wil eerder tijd besteden aan een heldere communicatie over wat hij van bedrijven verwacht. ‘We willen een moderne toezichthouder zijn. We gaan naar buiten komen om sectoren en bedrijven duidelijk te maken wat we van hen verwachten’, zei Stevens bij zijn aantreden eind maart. ‘Bedrijven moeten wel niet denken dat we hen adviseren over de kleinste details, zoals welke software ze moeten gebruiken. Ze moeten ook verantwoordelijkheid nemen.’

Lees verder

Advertentie
Advertentie

Tijd Connect