De EU-verordening voor data- en privacybescherming (AVG) houdt de gemoederen in ict-land bezig. Een van de vereisten die regelmatig over het hoofd wordt gezien is de aanstelling van een DPO.
De Algemene Verordening Gegevensbescherming (AVG) legt organisaties in alle EU-landen vanaf mei komend jaar direct een reeks verplichtingen op. De AVG verzwaart en vervangt de Meldplicht Datalekken die in Nederland sinds 1 januari 2016 geldt.
De verzwaring zit onder meer in de hogere boetes die toezichthouders kunnen opleggen: tot wel 20 miljoen euro, of 4 procent van de internationale bedrijfsomzet.
Méér dan een jurist
Een andere verzwaring van de AVG/GDPR is de aanstelling van een data protection officer (DPO), of functionaris voor gegevensbescherming (FG). In Duitsland is deze functie al verplicht. De functionaris is méér dan een privacy officer, die veel volwassen organisaties al wel hebben. Inhoudelijk moet een DPO zowel privacy-expert en jurist zijn, als ook kundige op gebieden als IT, databeveiliging en change management. Veel, maar niet alle, organisaties moeten een DPO aanstellen.
Duizenden nodig
De International Association of Privacy Professionals (IAPP) schat dat er EU-breed ongeveer 70.000 DPO’s nodig zullen zijn. Dat is een royale inschatting, waar deze belangenorganisatie ook een ondergrens van 28.000 tegenover zet. IAPP-CEO Trevor Hughes verwijst naar een onderzoek van begin vorig jaar, waarin de associatie al een inschatting maakte van het aantal vereiste DPO’s. Het grote verschil tussen de aantallen schuilt enerzijds in conservatieve aannames voor het onderzoek dat het minimum van 28.000 DPO’s aanduidt.
Lees het hele verhaal online.
