Plotseling is iedereen privacy-expert

Nieuwe functie Volgend jaar moeten er in Nederland naar schatting duizenden privacy-adviseurs aan het werk zijn. Maar wat moeten zij eigenlijk kunnen?

Illustratie Roland Blokhuizen

Ze vinden de ene na de andere vacature in hun LinkedIn-inbox. De advocaten worden bestookt door headhunters op zoek naar privacy-experts, vertelt Wanne Pemmelaar (33). Namens zijn werkgever, advocatenkantoor Allen & Overy, adviseert zijn team bedrijven over privacy.

Bedrijven zoeken naarstig experts vanwege nieuwe Europese privacywetgeving, strenger dan de huidige regels. Vooral de boetes boezemen angst in: organisaties die te bont omspringen met persoonsgegevens kunnen vanaf eind mei volgend jaar een sanctie krijgen tot 20 miljoen euro, of 4 procent van de wereldwijde jaaromzet.

Je kunt boetes krijgen als je niet voldoet aan de wetgeving, maar ook al wanneer je niet kunt aantonen dat je eraan voldoet

Veel organisaties moeten volgens de nieuwe regels een zogeheten functionaris gegevensbescherming benoemen, een soort privacytoezichthouder binnen een organisatie. In Nederland moeten er vanaf eind mei in totaal enkele duizenden aan het werk zijn, schat Paul Breitbarth, directeur van privacy-onderzoeksbureau Nymity en gastdocent aan de Universiteit Maastricht.

Alle overheidsorganen moeten er een aanwijzen, net als organisaties die gegevens gebruiken om mensen te profileren – bedrijven die kredietbeoordelingen aanbieden bijvoorbeeld. Het geldt ook voor organisaties die met gevoelige persoonsgegevens werken zoals ziekenhuizen of ggz-instellingen. Het is bijzonder, zeggen experts, dat een nieuwe wet rechtstreeks tot een nieuwe functie binnen bedrijven leidt.

Naast deze functionarissen hebben organisaties ook kennis nodig om zich voor te bereiden op de strenge regels. „Je kunt boetes krijgen als je niet voldoet aan de wetgeving, maar ook al wanneer je niet kunt aantonen dat je eraan voldoet”, zegt Jan de Zeeuw, voorzitter van een brancheorganisatie voor functionarissen gegevensbescherming.

Lees meer over de nieuwe privacywetgeving: De privacyregels worden strenger

Cursus van een week

Waar moeten bedrijven dit soort expertise vandaan halen? En: wat moet zo’n functionaris eigenlijk kunnen? Er zijn in Nederland op dit moment enkele opleidingen op het gebied van privacy: zo kunnen rechtenstudenten een privacyminor volgen aan de Universiteit van Amsterdam, en biedt de Universiteit Maastricht cursussen voor professionals.

Wie niet de juiste opleiding heeft, kan een certificaat halen. Het aanbod hiervoor is echter beperkt: de internationale privacy-organisatie IAPP biedt een Engelstalige cursus, maar die omvat slechts twee cursusdagen en twintig uur studietijd. Ook particuliere privacycursussen zijn in zwang.

Experts zijn sceptisch. Ze waarschuwen dat het lijkt alsof opeens iederéén privacy-adviseur is. „Privacy-adviesbureaus schieten als paddestoelen uit de grond”, zegt De Zeeuw. „Mensen volgen een cursus van een week en gaan zich daarna aanbieden.”

„Het is een gekke markt van allerlei bureautjes, mensen die claimen het wel even voor bedrijven te kunnen oplossen”, zegt ook Arjun Swami Persaud privacyconsultant bij databedrijf Trueson. „Er zijn weinig manieren om te herkennen wie er gekwalificeerd is. Bedrijven die mensen opleiden springen daarop in, zo van: je krijgt van ons snel een diploma om aan de slag te gaan.”

Wat levert deze „oververhitte markt” op? Een hoop kletskoek, daar zijn experts het over eens. Persaud: „Er wordt bijvoorbeeld gezegd dat je alleen met toestemming gegevens van mensen mag verwerken. Maar onder strenge omstandigheden mag dat ook vanwege bedrijfsbelangen zoals marketing.”

Omdat er in Nederland geen beroepsstandaard is, onderzoekt de vereniging van functionarissen gegevensbescherming of ze zelf een certificaat kunnen ontwikkelen. Of dat op tijd komt voor de nieuwe wet in mei is maar de vraag.

Privacydiplomaat

Waar kunnen bedrijven nu al op letten? „Sommige privacy-experts zijn goed, maar ik zou organisaties sterk aanraden door te vragen naar de daadwerkelijke ervaring van mensen,” zegt Breitbarth. „Zo kom je erachter of het niet gaat om iemand die een één- of tweedaagse cursus heeft gevolgd. Een examen maken kan iedereen. Het vergt een hoop meer om te begrijpen wat er daadwerkelijk verandert met de nieuwe wet.”

Naast veel kennis hebben, moet de functionaris gegevensbescherming ook een hoop kúnnen, zegt Wanne Pemmelaar van Allen & Overy. „Je hebt eigenlijk een soort privacydiplomaat nodig. Iemand die niet alleen juridisch heel goed onderlegd is, maar ook goed begrijpt waar het bedrijf heen wil.” Hij wijst erop dat je op een hoog niveau in een organisatie zal komen te werken. „Ik zie nu dat millennials worden benoemd als chief privacy officer, op de hoogste laag onder de directie. Het zijn serieuze banen.”

Naast de cultuur van de organisatie goed kennen, is het ook de bedoeling dat je kennis hebt van IT-systemen waarin persoonsgegevens staan opgeslagen, zegt Pemmelaar. „Wij raden nieuwe functionarissen gegevensbescherming aan om te leren programmeren.”

Er zijn nog andere valkuilen voor organisaties als het om de nieuwe wet gaat. Bijvoorbeeld denken dat alleen de juridische afdeling met de nieuwe regels te maken krijgt. Maar neem een afdeling personeelszaken: ook dáár wordt gewerkt met gevoelige gegevens over ziekteverzuim. „Er is al software beschikbaar waarbij door middel van data wordt geprobeerd te voorspellen wie als eerste z’n baan zal opzeggen”, zegt Pemmelaar. „Het is de vraag of dat soort dingen de nieuwe privacywet zullen doorstaan.”