Tekort aan privacy-experts bij duizenden organisaties

Nieuwe privacywet

Nog lang niet alle organisaties die dat moeten, hebben een privacy-functionaris aangesteld.

Foto FangXiaNuo

Duizenden bedrijven en instellingen hebben hun zaken rond de nieuwe Europese privacywet nog niet op orde. Een week voor de wet in werking treedt, meldt de toezichthouder Autoriteit Persoonsgegevens (AP) aan NRC dat tot nu toe pas 2.300 organisaties een zogeheten functionaris gegevensbescherming (FG) hebben aangemeld. Dat is fors minder dan de grove schatting van specialisten waar NRC mee sprak: zij denken dat zeker 5.000 organisaties een FG moeten aanstellen.

De Algemene Verordening Gegevensbescherming (AVG), die op 25 mei in werking treedt, stelt veel strengere eisen aan de omgang met persoonsgegevens. Alle overheidsinstanties moeten een FG aanwijzen, net als organisaties die gegevens gebruiken om mensen te profileren. Het geldt ook voor organisaties die met gevoelige persoonsgegevens werken zoals ziekenhuizen of ggz-instellingen.

Lees ook het interview met Timo Schipperen, beschermer patiëntdata: Altijd in touw om hackers te weren

De Autoriteit Persoonsgegevens wil geen uitspraken doen over hoeveel organisaties een FG zouden moeten aanstellen. Maar ICT- en privacyspecialist David de Nood van werkgeverscentrale VNO-NCW en MKB-Nederland, schat dat er in totaal vijfduizend nieuwe functionarissen gegevensbescherming nodig zijn. Vaak gaat het om deeltijdfuncties, dus één FG kan voor meerdere organisaties tegelijk werken. Ook kan een bedrijf iemand die al in dienst is aanwijzen als FG – het zijn dus niet allemaal ‘nieuwe’ functies.

Bestuurslid Frans Vrauwdeunt van de Nederlandse beroepsvereniging van functionarissen gegevensbescherming (NGFG) onderschrijft de inschatting van VNO-NCW. „Ook zorginstellingen moeten een functionaris gegevensbescherming hebben, dan zit je al heel snel aan 5.000 bedrijven en instellingen.”

Organisaties die nog geen FG hebben, lopen het risico dat ze problemen krijgen met de Autoriteit Persoonsgegevens. Omdat de functionaris moet worden aangemeld, is de regel relatief makkelijk te handhaven. Overtredingen van de wet kunnen leiden tot boetes. Het is wel mogelijk dat een deel van de organisaties die wel al een FG hebben aangesteld, dat nog niet hebben aangemeld bij de autoriteit.

Krappe markt

Het tekort aan privacy-experts zal voorlopig een probleem blijven, stelt De Nood van VNO-NCW. „Ook de Autoriteit Persoonsgegevens heeft moeite om goed personeel aan te trekken. Dat geeft wel aan hoe krap de markt is.” Onlangs stelde de autoriteit dat het honderd extra mensen nodig heeft om de wet goed te kunnen handhaven.

Privacyspecialisten zijn moeilijk te vinden omdat ze aan een breed eisenpakket moeten voldoen. „Ze moeten bijvoorbeeld voldoende juridische kennis hebben”, aldus De Nood. Ook moeten ze inzicht hebben in hoe de gegevens worden verwerkt, en dus technisch onderlegd zijn. „Bedrijven willen bovendien vaak dat de FG iets weet van de sector waarin het bedrijf actief is.” Het gaat kortom om alleskunners, die moeilijk te vinden zijn.

Daarnaast gaat het om een functie die tegen de top van een bedrijf aan zit, want de interne toezichthouder moet in nauw contact staan met de directie. De Nood: „Het is dus geen functie die je kunt stallen op de ICT-afdeling. Het moet iemand met statuur zijn, die tegen de directeur kan zeggen: luister eens, dit moeten we anders doen.”

Bedrijven kiezen er vaak voor eigen personeel bij te scholen in korte cursussen. Volgens Vrauwdeunt van NGFG is het kennisniveau van deze functionarissen nog niet voldoende. „Veel nieuwe functionarissen moeten bijgeschoold worden.”