Organisaties geven unieke en verschillende invullingen aan de rol van Data Protection Officer. Toch zijn de uitdagingen voor de meeste DPO’s dezelfde: rechtsonzekerheid belemmert hun werk en intern ontbreekt al te vaak een duidelijk kader met toegewezen verantwoordelijkheden.
De vlag van Data Protection Officer (DPO) dekt heel wat verschillende ladingen. Dat blijkt uit een kwalitatief onderzoek van Beltug, de belangenorganisatie van Belgische IT-beslissingnemers, bij dertig Belgische organisaties uit verschillende sectoren. Bedrijven zijn sinds de invoering van de GDPR-regelgeving in 2018 verplicht om een DPO aan te stellen die zich ontfermt over compliance en privacy van data, maar naar een rode draad voor best practices blijft het nog zoeken.
Van Legal tot IT
Zo is er al geen eensgezindheid over het departement waartoe een DPO behoort. Voor 23 procent is dat Legal, terwijl nog eens 23 procent de DPO aan het departement compliance toewijst. Voor negen procent maakt de DPO deel uit van IT en beveiliging. 45 procent geeft nog een andere invulling aan de rol.
lees ook
Onderzoek Beltug: security bovenaan de agenda van Belgische CIO’s
In 55 procent van de bevraagde organisaties is er een fulltime-DPO aan de slag. Voor 45 procent maakt de rol slechts een deel uit van het takenpakket, en combineert de DPO zijn functie met andere verantwoordelijkheden. Beltug wijst erop dat verschillende organisaties verschillende noden hebben. Een B2C-bedrijf kampt met andere uitdagingen dan een grote fabriek en moet de rol van DPO dan ook anders invullen.
Geen topscoorders
Hoe de rol van DPO ook wordt gedefinieerd, de werking van de functie verloopt nooit optimaal. Een duidelijke structuur voor privacy-beheer ontbreekt in alle bevraagde organisaties. Geen enkele ondervraagde geeft aan Best in class te zijn. Vijftien procent is naar eigen zeggen wel goed bezig. De helft van de organisaties ziet zijn structuur als gemiddeld, terwijl 35 procent aangeeft ondermaats bezig te zijn.
De grootste uitdagingen zijn een gebrek aan bewustwording van en ondersteuning door het hogere management. Daar komt bij dat er binnen organisaties geen duidelijke verantwoordelijkheid bepaald is voor het privacybeleid. Dat zien DPO’s als één van de belangrijkste uitdagingen. Tot slot ontbreken werkbare procedures.
Duidelijke regels, duidelijke opvolging
Rechtsonzekerheid speelt daar voor een stuk een rol. Het landschap rond privacy en databescherming evolueert razendsnel en het is al te vaak onduidelijk wat er nu precies wel en niet kan. Domeinen waar de regels al wel gedefinieerd zijn, worden doorgaans goed opgevolgd.
Volgens de bevraging kunnen de meeste organisaties goed overweg met het beheer van gegevensverzoeken en gegevensinbreuken. Dat zijn twee duidelijk afgebakende domeinen waar niet toevallig ook concrete boetes tegenover staan wanneer een bedrijf er z’n voeten aan veegt.
“Als er glasheldere regels zijn voor een bepaald compliancedomein, is het voor een organisatie eenvoudiger om keuzes te maken”, zegt Danielle Jacobs, CEO van Beltug, daarover. “Wanneer regels echter op verschillende manier geïnterpreteerd kunnen worden, tonen organisaties zich eerder terughoudend, stellen ze hun acties uit en wordt er mogelijk getwijfeld aan het advies van hun DPO.”