Veel organisaties, zoals overheden en publieke organisaties, waren verplicht een Data Protection Officer (DPO) aan te stellen vóór invoering van de AVG op 25 mei. In korte tijd werd deze functie een enorme hype en werden er in rap tempo mensen aangenomen om organisaties GDPR-proof te maken. Maar heeft hij of zij nog wel een baan na 25 mei?

Volgens Matthijs Onder de Linden, DPO bij Redmore Group, doorloopt de carrière van de DPO vier fases en verdwijnt de DPO in de rol zoals we ‘m nu hebben leren kennen.

Fase 1: Projectmanager

De afgelopen maanden lag de focus van de DPO op het in kaart brengen van data en processen, de technologie, beveiliging, het maken van stappenplannen en inzicht geven in de bijbehorende kosten. Vervolgens was het de taak van de DPO om de medewerkers en het management te informeren en adviseren over hun verplichtingen in het kader van de GDPR. Zijn werk stond in het teken van het overtuigen van het management, bewerkstelligen van grote veranderingen en het doorvoeren ervan in de organisatie – ook als deze impopulair zijn. Veelal onontgonnen terrein; het enige wat bekend was is de deadline van 25 mei.

Fase 2: Overdracht van verantwoordelijkheid

De tweede fase gaat in wanneer de processen zijn ingericht en de medewerkers zich verantwoordelijk voelen voor compliance. Op dit moment moet iedereen in zijn dagelijkse werkzaamheden nadenken over privacy en databeveiliging. Matthijs: “De medewerkers moeten zelf de risico’s herkennen en proberen te voorkomen, niet alleen op technisch gebied, maar ook door processen op de juiste manier in te richten en uit te voeren. Iets dat de DPO als het goed is duidelijk heeft gemaakt.” 

Fase 3: Onderhoudende rol

Na de eerste twee fases gaat de rol van de DPO daadwerkelijk veranderen; namelijk van een adviseur en projectmanager met een omvangrijk project naar een meer onderhoudende rol. Daarom is het belangrijk om na te gaan of de huidige DPO na vrijdag 25 mei nog wel geschikt is voor deze functie of dat deze nieuwe fase beter past bij iemand anders binnen de organisatie. “De functie, een beherende rol, wordt meer een combinatie van een junior beheersende rol gericht op de daadwerkelijke processen, bijhouden van het juiste bewustzijn en een nauwe samenwerking met IT.

Daarnaast zullen er momenten blijven waarbij de rol senioriteit en gezag nodig heeft. Zoals het maken van een verplichte melding als er een datalek heeft plaatsgevonden. Dit is een zeer onwelkome gebeurtenis die volgens de regels moet worden afgehandeld en waarbij de DPO de (interne) druk moet kunnen weerstaan om de melding niet of anders te laten verlopen”, aldus Matthijs. Dit onderdeel van de rol kan ook worden belegd bij een andere functie zoals de HR- of marketingdirecteur met daarnaast een junior voor de beheersfunctie. Je kunt de rol van de DPO dus niet volledig schrappen maar het profiel gaat veranderen naar een onderhoudende rol waarvoor een ander wellicht geschikter en goedkoper is.

Fase 4: Compleet andere rol

Je wil de DPO in zijn huidige rol idealiter niet behouden, dus is het belangrijk om te beslissen wat de beste optie is: De DPO vervangen of deze nieuwe projecten toe te wijzen. “Maak je geen keuze over zijn nieuwe rol dan loop je risico dat hij met zijn kwaliteiten – denk aan fase 1 – de neiging zal hebben voortdurend nieuwe meeslepende projecten te definiëren rondom privacy, terwijl de organisatie juist gebaat is bij het inbedden ervan. Bedenk dat de wet stelt dat de DPO alle tijd en middelen dient te hebben om naar eigen inzicht databescherming en privacy te borgen”, aldus Matthijs.

Overigens is het belangrijk te onthouden dat je de huidige DPO niet zomaar kunt ontslaan, omdat je hem of haar hebt aangedragen bij de Autoriteit Persoonsgegevens en het een beschermde rol is. Dat is maar goed ook, vanwege de klokkenluidersrol van een DPO. Wees bewust van de kwaliteiten van de DPO bij het maken van de beslissing over wat zijn of haar rol gaat zijn na het officiële moment. Dan blijft het een goede match.