Volgens de nieuwe privacywet moeten heel veel organisaties in mei al een Data Protection Officer in dienst hebben. Maar in vacatures wordt er nog maar mondjesmaat naar gezocht.
Vanaf begin 2016 tot nu toe waren er in Nederland zo’n 1.000 vacatures te vinden voor mensen die zich specifiek met informatieveiligheid of data privacy bezighouden, zo’n 50 per maand. In net iets meer dan 5 procent van al die vacatures wordt specifiek de GDPR genoemd, de General Data Protection Regulation, oftewel: de meest recente EU-regelgeving rondom data privacy.
Maar 2% Data Protection Officers
In net iets meer dan 2 procent van al die 1.000 vacatures wordt specifiek gevraagd om een ‘Data Protection Officer’ of DPO. Dat blijkt uit gegevens van Jobfeed, dat op speciaal verzoek van Werf& in de online geplaatste vacatures van de laatste bijna 2 jaar dook. Dat in vacatures zo weinig naar DPO’s gevraagd wordt is opvallend, want dat is toch de officiële titel die de regelgeving meegeeft aan de verantwoordelijke, die in veel organisaties vanaf mei volgend jaar verplicht aangesteld moet zijn.
Stilte voor de storm of onkunde?
Waarom wordt die bijna verplichte DPO nog nauwelijks gezocht? Misschien proberen veel organisaties het zelf intern op te lossen. Of ze schakelen eerst een externe consultant in, om de boel op poten te zetten. Misschien is het ook wel zo dat de grote hausse aan DPO-vacatures nog moet komen. Of misschien is het gewoon nog onkunde bij de betreffende organisaties, dat kan natuurlijk ook…
Volgens de regels is een organisatie in 3 gevallen verplicht om een DPO te hebben
Wanneer is een DPO nou nodig?
Wie moeten straks eigenlijk zo’n Data Protection Officer aanstellen? Volgens de regels is een organisatie straks in 3 gevallen verplicht om een DPO te hebben. In de wet staat het precies beschreven, maar kort gezegd komt het erop neer dat je een DPO nodig hebt als:
1. Je organisatie een overheidsinstantie of overheidsorgaan is.
2. Als je organisatie op grote schaal mensen regelmatig of stelselmatig monitort door hun data te verwerken. Hoewel ‘monitoring’ in de GDPR niet exact staat gedefinieerd, valt elke vorm van tracking en profilering op internet of offline er in elk geval onder. Dus ook behavioural advertising, of retargetting.
3. Als je data verwerkt die vallen in een van de zogenoemde bijzondere categorieën van persoonsgegevens. Denk aan gegevens waaruit ras of etnische afkomst blijken, of politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond. Ook moet je een DPO hebben als je genetische en biometrische gegevens (bedoeld voor de unieke identificatie van een persoon) verwerkt, of gegevens over gezondheid, iemands seksuele gedrag of geaardheid, of gegevens over strafrechtelijke veroordelingen en strafbare feiten. Om al deze gegevens te mogen verwerken gelden overigens sowieso bijzondere aanvullende regels.
Externe mag het ook
Zelf een Data Protection Officer in dienst nemen is in zulke gevallen trouwens niet altijd nodig. De werkzaamheden mogen ook door een externe medewerker worden uitgevoerd. Of dat veel zal gaan gebeuren, is overigens lastig uit de vacaturedata af te lezen. Ruim 40 procent van die eerder genoemde 1.000 vacatures is geplaatst door een intermediair, niet door een directe werkgever. Maar of al die veiligheidsprofessionals nou vooral voor de eigen organisatie aan de slag gaan met de nieuwe regelgeving, of dat ze dat ook voor andere organisaties gaan doen? Dat moet de toekomst nog uitwijzen.
Kom naar het GDPR-seminar
Op 12 december organiseert Werf& in Utrecht een speciaal seminar voor recruiters, over alle ins en outs van de nieuwe privacyregels. Ook de rol van de al dan niet verplichte Data Protection Officer zal hierbij uitgebreid besproken worden. Schrijf je dus nu in!
