Beheer

Security
EU

75.000 databeschermers nodig voor EU-meldplicht

Organisaties moeten straks eigen functionaris databescherming in huis hebben volgens EU-wet.

© CC0 Public Domain
14 november 2016

Organisaties moeten straks eigen functionaris databescherming in huis hebben volgens EU-wet.

Wereldwijd zijn zeker 75.000 ‘functionarissen gegevensbescherming’ nodig om te kunnen voldoen aan de EU-meldplicht datalekken die over anderhalf jaar in werking treedt.

Volgens The International Association of Privacy Professionals (IAPP) zijn wereldwijd zeker 75.000 functionarissen nodig die zich toeleggen op dataprotectie. Volgens de Europese Meldplicht Datalekken (General Data Protection Regulation) moeten overheidsorganisaties en bepaalde bedrijven die met persoonsgegevens een functionaris gegevensbescherming in dienst hebben. Deze persoon moet onafhankelijk van het bestuur van de organisatie kunnen werken. De EU-wet stelt zo’n functionaris gegevensbescherming verplicht voor bedrijven die “regelmatig en systematisch op grote schaal data monitoren” of als ze “speciale categorieën data op grote schaal verwerken.” Daarbij gaat het om organisaties die gegevens van EU-burgers verwerken. Op welke plek in de wereld zij gevestigd zijn, doet er hierbij niet toe.

De IAPP komt op een aantal van 75.000 door zich te baseren op openbare gegevens over Europese bedrijven. Voor de berekening wordt er van uitgegaan dat alle organisaties met meer dan 5000 medewerkers een functionaris gegevensbescherming nodig hebben. In bepaalde branches, zoals Transport en Hotelwezen wordt de helft meegeteld en de Telecom-branche weer in zijn geheel. Voor de berekening van de VS gaat IAPP uit van het aantal bedrijven dat onder de voormalige Safe-Harbor-regeling viel. Dat aantal is vervolgens verdubbeld.

Dat betekent niet dat er nu heel veel vacatures verschijnen voor deze functie. Het gros van de organisaties zal deze functie laten invullen door medewerkers die zij al in dienst hebben. Daarbij gaat het vooral om de privacymanagers, die dit er nog eens als extraatje bij krijgen. Dat blijkt uit het onderzoek Organisational Readiness fort he EU GDPR, van de denktank The Centre for Information Policy Leadership en softwaremaker AvePoint, dat vorige week tijdens een IAPP-congres in Brussel werd gepresenteerd. Het onderzoek werd gehouden onder 223 data controllers en -verwerkers, werkzaam bij voornamelijk grote organisaties.

Uit het onderzoek blijkt dat de meeste bedrijven wel al voorbereidingen treffen om te kunnen voldoen aan de GDPR, of er in elk geval over nadenken. Het meeste werk voorzien zij hiervoor op 3 punten:

  1. Het ontwikkelen en doorvoeren van een programma voor privacy en compliance-management. Die moeten intern of extern geverifieerd worden. Bovendien moet de organisatie het bestaan en de effectiviteit van die programma’s kunnen aantonen.
  2. Het gebruik van dataverwerkers en de contracten die hiervoor met hen moeten worden afgesloten. In die contracten moeten de nieuwe GDPR-voorwaarden verwerkt worden, zoals dat er een gezamenlijke aansprakelijkheid is bij een datalek. Dat betekent ook dat alle bestaande contracten gewijzigd moeten worden.
  3. Het melden van de datalekken moet volgens nieuwe regels: bij daartoe aangewezen autoriteiten en bij mogelijk getroffen individuen. Dat vereist geheel nieuwe procedures en beleidsregels en zorgt voor een hoger risicoprofiel voor de organisatie.

 

Krap een kwart van de organisaties neemt meer medewerkers aan om op tijd aan de eisen van de GDPR te kunnen voldoen. 20 procent vergroot hiervoor het interne budget hiervoor en 16 procent verhoogt zijn investeringen in externe adviseurs. De helft is er echter nog niet uit of ze meer mensen hiervoor willen aannemen of in elk geval het budget willen verhogen. 30 procent is niet van plan er meer geld aan uit te geven.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.