Van voltijds tot extern. Van gehuisvest bij de juridische afdeling, bij compliance óf bij it & security. De invulling van de data protection officer (dpo) verschilt sterk bij Belgische bedrijven, blijkt uit een onderzoek van Deloitte Belgium en ict-gebruikersvereniging Beltug. Zij keken hoe Belgische organisaties omgaan met de vereisten van de gdpr-wetgeving uit 2018 en vooral: hoe de rol van data protection officers in de praktijk wordt ingevuld.
Naar eigen zeggen is het onderzoek een benchmark voor middelgrote en grote ondernemingen en hun dpo’s. Zij kunnen hiermee hun manier van werken vergelijken met die van andere organisaties. ‘De dpo speelt een belangrijke rol in privacybeheer. Het gaat om een nieuwe functie en veel ondernemingen zijn op zoek naar informatie over hoe andere organisaties hun privacy-uitdagingen aanpakken’, klinkt het.
Geen voorkeursmodel
Uit de enquête blijkt hoe sterk de tewerkstelling van dpo ’s verschilt per organisatie. Zo maakt iets meer dan de helft van de organisaties gebruik van een voltijdse dpo en externe medewerkers om privacy-gerelateerde issues te ondersteunen. Anderen hebben slechts een deeltijdse dpo aangesteld, zonder externe ondersteuning. Al komt dit ook voort uit de aard van de organisatie. ‘De privacy-uitdagingen van een b2c-bedrijf zijn natuurlijk anders dan die van een industriële fabriek’, klinkt het.
Het onderzoek wijst ook uit dat dpo’s aan de slag zijn bij uiteenlopende businessunits: bij 23 procent van de respondenten gaat het om de juridische afdeling, bij nog eens 23 procent om de afdeling compliance, bij 9 procent om de afdeling it & security en bij 45 procent om andere afdelingen. ‘Deze verschillen tonen aan dat er momenteel geen specifiek voorkeursmodel bestaat voor dpo’s’, stelt Alexandra Jaspar. Zij is director & privacy lead data protection & privacy bij Deloitte.
Budget
En wat met het budget? ‘Onze enquête toont aan dat ook het jaarbudget voor gegevensbescherming sterk verschilt van bedrijf tot bedrijf. Maar de meeste respondenten meldden dat hun middelen sinds 2018 stabiel gebleven zijn’, oppert Alexandra Jaspar.
Gebrek aan middelen blijken, volgens de onderzoekers, overigens een van de belangrijkste uitdagingen voor dpo ‘s. Dit is naast een gebrek aan steun van het management, geen duidelijke toewijzing van verantwoordelijkheid voor privacy compliance (buiten het dpo-kantoor) en een gebrek aan blijvend bewustzijn in de hele organisatie.
Tenslotte blijkt uit het rapport dat de inhoudelijke invulling van de functie wel wijzigt of verbetert. ‘De rol van de dpo verandert duidelijk van die van brandweerman in die van facilitator’, aldus de onderzoekers.
