Afgelopen mei was de AVG 2 jaar van kracht. Op diverse blogs en websites is daar ruimschoots aandacht aan besteed.  Het viel me op dat de discussie weinig ging over hoe het vak van Functionaris Gegevensbescherming (FG) zich verder kan ontwikkelen, maar vooral inhoudelijk over de AVG. Twee jaar AVG: hoe nu verder als FG?

Vakontwikkeling van de FG

De eerste 2 jaar waren organisaties vooral bezig met het voldoen aan de AVG. Nu die fase afgerond is, wordt het tijd om te kijken hoe het vak van FG zich verder kan ontwikkelen.

Natuurlijk vraagt de eerste fase onderhoud. Hoe pakken de maatregelen om de verwerkingen te verbeteren uit? Zijn er nieuwe verwerkingen? Moet de privacyverklaring aangepast worden? Welke datalekken zijn er geweest en wat kunnen we daar van leren? En dan heb je als FG natuurlijk nog de toezichthoudende rol.

Allemaal zaken die aandacht vragen, maar die het vak van FG en het onderwerp privacy binnen de organisatie niet op een hoger plan brengen. De vraag is hoe dat wel kan.

In de V.S. is de  rol van Chief Privacy Officer (CPO) gemeengoed. Al in 1991 benoemde Acxiom, een database marketing organisatie, als eerste bedrijf een CPO. In Nederland kennen we dit nog niet. Als ik google op vacatures Chief Privacy Officer (CPO) in Nederland dan kom ik uit op functies  van Privacy Officer. De functieomschrijvingen leren dat dit over het algemeen FG-achtige functies zijn waaraan een aantal beleidsmatige componenten zijn toegevoegd. Die functies zitten daarmee nog niet op het zogenaamde C-nivo, op directieniveau.

De cybersecurity Gids geeft de eisen waaraan naar hun idee een CPO zou moeten voldoen. Naast vanzelfsprekend diepgaande kennis van de wetgeving, vallen mij 2 eisen op:

  • ervaring in het leveren van excellente service aan klanten
  • de vaardigheid om doelmatig te onderhandelen en acceptabele compromissen te sluiten

 

Naar een T-shaped FG?

Deze 2 functie eisen zijn mijns inziens een goede leidraad voor de discussie over de FG 2.0. Ik geef hieronder een voorzet.

De tweede eis geeft aan dat de privacyverantwoordelijke niet alleen de de AVG toepast maar deze ook overstijgt. Dat hij ook kijkt naar de organisatie doelstellingen en binnen de kaders van de AVG tot compromissen komt met de mede directieleden die een andere discipline in portefeuille hebben.

De tweede eis houdt een omslag in het denken in. Niet meer handelen vanuit de AVG maar vanuit toegevoegde waarde voor de klant. In mijn boek heb ik beschreven hoe je klantwaarde kunt creëren binnen de context van privacy. Kort gezegd: kijk hoe je de klanten van de organisatie met privacy waarde kunt bieden. Tegen de achtergrond van een toenemend privacybewustzijn van de consument zal dit aspect steeds belangrijker worden.

Een aantal jaren geleden is in de advocatuur de “T-shaped lawyer” geïntroduceerd. Niet alleen juridische kennis maar ook andere competenties zijn van belang om goed te functioneren als advocaat.

Naar analogie pleit ik voor een T-shaped FG. De verticale as is dan de kennis op het gebied van privacy en de AVG, de horizontale as heeft aan het ene einde de competentie om klantwaarde te kunnen creëren, aan het andere uiteinde staat de competentie van het AVG overstijgend kunnen handelen en op directieniveau te kunnen opereren.

Met die twee extra elementen krijgt het vak van FG mijns inziens een extra dimensie die noodzakelijk is in een omgeving waarin het belang van en bewustzijn over privacy steeds groter wordt.

Dit artikel verscheen eerder in de nieuwbrief van IIR

Meer lezen over de FG? Download de whitepaper “De FG een merkwaardig figuur”.

Gerelateerd