Loopbaan

Privacy
Bart Schermer

Nijpend tekort ICT-juristen door Meldplicht Datalekken

Binnen 1,5 jaar zeker 25.000 extra privacyspecialisten nodig; vraagtekens bij kwaliteit opleidingen.

19 oktober 2016

Binnen 1,5 jaar zeker 25.000 extra privacyspecialisten nodig; vraagtekens bij kwaliteit opleidingen.

Sinds januari 2016 zij er door bedrijven en overheden al meer dan 4000 blootgelegde datalekken aan de Autoriteit Persoonsgegevens gemeld. Dit heeft een nijpend tekort aan gespecialiseerde ICT-juristen aan het licht gebracht. Binnen 18 maanden zijn zeker 25.000 privacyspecialisten nodig om het gebruik van data in lijn te brengen met de Europese vereisten, stelt Bart Schermer, partner bij juridisch adviesbureau Considerati en universitair hoofddocent ICT-Recht aan de Universiteit Leiden.

Op dit moment telt ons land slechts duizend ICT-juristen, die met name bij de grote multinationals actief zijn. “Dat leidt tot een goudkoorts onder privacyadviseurs en een wildgroei aan privacygerelateerde opleidingen, waarvan het kennisniveau twijfelachtig is”, zegt Schermer. Begin deze week uitte hij zijn zorgen in een door NPO 3 uitgezonden college over privacy.

Gebrek aan expertise

De hausse aan datalekken toont volgens Schermer de gebrekkige staat van het privacybeleid bij Nederlandse ondernemingen en overheden aan. “Opgeslagen persoonsgegevens kunnen voor bedrijven en overheden een potentiële goudmijn zijn wanneer ze goed en correct worden gebruikt. Het gaat erom het maximale uit je data te halen binnen de grenzen van de wet, maar ook binnen de grenzen van wat binnen onze maatschappij als aanvaardbaar wordt beschouwd. Door gebrek aan expertise dreigt privacy compliance voor veel bedrijven en overheden nu een ‘tick the box’-exercitie te worden. Zeer gevaarlijk nu duidelijk is dat datalekken een grote wissel kunnen trekken op de waarde van een onderneming”, aldus Schermer.

Telecomprovider Verizon kocht in juli 2016 Yahoo.com voor $ 4,83 miljard maar eist nu een korting van $ 1 miljard op de overname, nadat een omvangrijk datalek bij Yahoo.com aan het licht kwam. Schermer raadt naar aanleiding hiervan bedrijven die veel persoonsgegevens verwerken aan om zo snel mogelijk in kaart te brengen wat er wanneer verzameld wordt, en vooral waarom.

Meldplicht datalekken

Sinds 1 januari 2016 is het wettelijk verplicht om datalekken te melden. Bedrijven en overheden hebben tot 25 mei 2018 om hun bedrijfsvoering met De Algemene Verordening Gegevensbescherming (AVG) in overeenstemming te brengen. Bedrijven die op grote schaal persoonsgegevens verwerken, bedrijven met meer dan 250 werknemers en overheidsdiensten zijn verplicht een interne toezichthouder op de verwerking van persoonsgegevens - ofwel een  ‘functionaris gegevensbescherming’ - aan te stellen. Vanaf 25 mei 2018 is de vrijblijvendheid definitief verdwenen en kunnen boetes oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van een onderneming.

Wildgroei aan opleidingen

Privacyconsultancy ontwikkelt zich wereldwijd tot een miljardenbusiness. De staatssecretaris van Veiligheid en Justitie becijferde eerder in een brief aan de Eerste Kamer dat de nalevingskosten voor het Nederlandse bedrijfsleven zullen toenemen van 72,5 miljoen euro in 2015 naar 1,1 tot 1,5 miljard euro in 2018. Het gebrek aan expertise op het gebied van privacy werkt volgens Schermer als een rode lap op ‘allerhande adviseurs van wisselende kwaliteit’, die in afwachting van de nieuwe generatie ICT-bedrijfsjuristen massaal op de markt gedoken zijn.

Schermer ziet daarnaast een wildgroei aan nieuwe opleidingen. “Een belangrijk deel van de aanbieders heeft zelf niet genoeg expertise in huis. Een echte goede opleiding kan het tekort aan goed geschoold personeel ondervangen.” Ook Schermer zal overigens op korte termijn een opleiding lanceren. “Op deze manier kunnen we versneld voorzien in de behoefte aan echt goede privacyspecialisten.”

De universitair hoofddocent aan de Universiteit Leiden ziet wel een lichtpuntje: het onderwerp is enorm in trek bij jonge juristen. “Voor een grote groep rechtenstudenten is privacy nu het meest interessante deelonderwerp. Gelukkig maar, gezien het nijpende tekort aan toekomstige specialisten.”

Zie ook Loopbaan op AG Connect Intelligence
3
Reacties
Guus Brugman 19 oktober 2016 14:25

Door het digitaal beschikbaar maken van steeds meer persoonsgegevens uit meerdere collecties moeten er maatregelen worden genomen om de toegankelijkheid, beschikbaarheid (duur) en aanleg van deze gegevensverzamelingen te beperken. Daar zijn in eerste instantie geen juristen maar informatieanalisten nodig.

Nico J W Kuijper 19 oktober 2016 13:08

Het tekort aan ICT juristen is slechts een deel van het probleem. Het operationaliseren van data privacy maatregelen vraagt om meer IT technische kennis. Praktisch gezien moet bijvoorbeeld onderzocht worden waar privacy relevante informatie leeft in ICT systemen (de data privacy assessment), er moeten processen en systemen ingericht worden om een "data breach" te detecteren en binnen 72 uur te rapporteren, applicaties moeten in staat zijn het verwijderen van privacy relevante gegevens te faciliteren (right to be forgotten), etc, etc. Een ICT jurist kan heel goed aangeven wat er moet gebeuren.. maar bedrijven krijgen een veel grotere uitdaging daarna: hoe dit beleid om te zetten in technische en organisatorische maatregelen? Dat vraagt op specialisten die kennis hebben van zowel data privacy als ICT systemen en processen.

Nico J W Kuijper 19 oktober 2016 13:07

Het tekort aan ICT juristen is slechts een deel van het probleem. Het operationaliseren van data privacy maatregelen vraagt om meer IT technische kennis. Praktisch gezien moet bijvoorbeeld onderzocht worden waar privacy relevante informatie leeft in ICT systemen (de data privacy assessment), er moeten processen en systemen ingericht worden om een "data breach" te detecteren en binnen 72 uur te rapporteren, applicaties moeten in staat zijn het verwijderen van privacy relevante gegevens te faciliteren (right to be forgotten), etc, etc. Een ICT jurist kan heel goed aangeven wat er moet gebeuren.. maar bedrijven krijgen een veel grotere uitdaging daarna: hoe dit beleid om te zetten in technische en organisatorische maatregelen? Dat vraagt op specialisten die kennis hebben van zowel data privacy als ICT systemen en processen.

Reactie toevoegen