Sinds de invoering van de Europese privacyregels een jaar geleden moeten bedrijven (en overheidsdiensten) die data verwerken een data protection officer (DPO) in dienst hebben. Zij zijn onder meer het eerste aanspreekpunt in het geval van een datalek of bij klachten over praktijken van het bedrijf. Momenteel zijn bij de Gegevensbeschermingsautoriteit (GBA) 4.397 dergelijke ‘privacymanagers’ aangemeld, een stijging met 72,3 procent op een jaar tijd. Dat dit nog verre van onvoldoende is, blijkt uit het feit dat nog elke maand bij Belgische bedrijven gemiddeld honderd vacatures voor DPO openstaan.
De Tijd wijst echter ook op de vrees in de sector dat het huidige klimaat van hoge nood zonder regulering de deur openzet voor charlatans.
“Geen van die privacymanagers is gecertifieerd om de job uit te oefenen. Dat kan ook niet, want de GBA stelde nog geen vereisten op voor die job. Als een privacymanager aangemeld wordt bij de GBA is er ook geen aparte screening van de persoon in kwestie. Dat maakt dat de functie, nochtans verplicht in veel bedrijven, niet gereguleerd is.”
Matthias Vierstraete, advocaat bij Laga en expert in de materie:
“We zien hoe mensen misbruik maken van de hype en zich met een beperkte opleiding opwerpen als privacymanager. Iedereen kan zich vandaag eigenlijk zo noemen. En bedrijven missen vaak de expertise om zulke figuren daarop uit te dagen.”
Voor ontslagnemend staatssecretaris voor Privacy Philippe De Backer (Open VLD) zou dit kunnen opgevangen worden door bepaalde opleidingen te machtigen om gecertifieerde privacymanagers af te leveren. In België kan je een opleiding voor DPO volgen bij het Data Protection Institute, de Solvay Business School en Howest. Maar afgestudeerden krijgen daar aan het einde van de opleiding enkel een officieus certificaat.
Stephanie Witters van Howest noemt een wettelijk kader daarom een must.
“De benodigde competenties en de bevoegdheden van een privacymanager staan weliswaar omschreven in de wet, maar bedrijven onderschatten die toch. Een wettelijk kader voor de functie zou de aandacht voor privacy nog verhogen. De kwaliteit van het geleverde werk is nu heel laag.”
Of dat wettelijk kader er binnenkort komt, is echter twijfelachtig. De Gegevensbeschermingsautoriteit ziet de certifiëring van privacymanagers alvast niet als een prioriteit. De GBA wil eerder tijd besteden aan een heldere communicatie over wat hij van bedrijven verwacht.