Beheer

Security
europa vlag

Nog heel veel functionarissen gegevensbescherming nodig

Veel meer ICT-bedrijven vallen onder wettelijke verplichting

© Europa
22 maart 2017

Veel meer ICT-bedrijven vallen onder wettelijke verplichting

Veel meer ICT-bedrijven dan verwacht zijn vanaf volgend jaar verplicht een functionaris voor de gegevensbescherming aan te stellen. Dat blijkt uit een onderzoek van Nederland ICT.

De Europese Algemene verordening gegevensbescherming (Avg) die in mei 2018 in werking treedt, eist van een groot aantal organisaties dat zij een functionaris voor de gegevensbescherming (FG) aanstellen. Uit een onderzoek van Nederland ICT onder ruim 200 organisaties blijkt dat 44 procent daarvan een FG moet hebben. “Dat zijn er veel meer dan we hadden verwacht”, laat een woordvoerder van Nederland ICT weten.

 

De cijfers zijn afkomstig van een quickscan op de site van Nederland ICT. Organisaties kunnen hiermee bekijken of de verplichte aanstelling van een FG ook voor hen geldt. De scan is een onderdeel van een voorlichtingscampagne over de Avg, die Nederland ICT gestart is. “We houden een slag om de arm over de representativiteit, maar is het 1 op de 3 – dan zijn het er nog heel veel. Het betekent dat heel veel ICT-bedrijven nog veel inspanningen en investeringen moeten doen om een FG aan te stellen.” Nederland ICT heeft wel een verklaring voor het hoge aantal benodigde fg's: "De rol van ICT-bedrijven verandert omdat ze steeds vaker diensten en producten in de cloud aanbieden. Dat brengt extra verantwoordelijkheden met zich mee. Uit de scan blijkt nu dat dit voor een groot deel van de ICT-bedrijven het geval is. Vaak zullen ze zich daar zelf nog niet van bewust zijn."

Nederland ICT komt op korte termijn met hulp en dienstverlening op dit vlak voor zijn leden. Daarbij gaat het volgens de woordvoerder vooral om de wat kleinere organisaties.

Uit het onderzoek van Nederland ICT blijkt dat 25 procent een FG nodig heeft omdat ze bijzondere gegevens als core business verwerken. 19 procent is verplicht een FG aan te stellen omdat ze zich bezig houden met regelmatige en stelselmatige monitoring.

Wat is een FG

Een interne toezichthouder op de verwerking van persoonsgegevens. Belangrijke taken zijn onder meer toezien op de naleving van de privacy-wetgeving, samenwerken met de AP en functioneren als eerste spraakpunt en sparringpartner voor de AP.

Voor wie is straks een FG verplicht?

  1. De overheid
  2. Organisaties die hoofdzakelijk belast zijn met het doen van verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen
  3. Organisaties die hoofdzakelijk belast zijn met het op grote schaal verwerken van bijzondere gegevens

 

Geen officieel certificaat

De verplichte aanstelling van een functionaris gegevensbescherming vanaf mei 2018 heeft geleid tot een zeer groot aanbod van opleidingen. Van een officiële certificering is nog geen sprake.

Het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) ziet een groot, zeer divers aanbod van cursussen. “Er zijn diverse opleidingen voor FG’s. Over de kwaliteit daarvan lopen de meningen uiteen. De ene is ook wel wat prijziger dan de ander”, laat een woordvoerster van het NGFG weten. Zij benadrukt: “Er zijn nog geen officiële certificaties voor FG's, hoewel sommige opleidingsinstituten anders doen voorkomen. Wij, als NGFG, zijn wel in gesprek met de Autoriteit Persoonsgegevens, om te verkennen op welke wijze dat wel gerealiseerd kan worden”, laat een woordvoerster van de NGFG weten.

Markt moet het doen

De Autoriteit Persoonsgegevens laat echter weten dat zij geen certificering voor FG-opleidingen zal opzetten. “Dat moet de markt zelf oppakken”, laat een woordvoerster van de AP weten. Zij wijst er op dat in de Avg wel staat dat toezichthouders het moeten aanmoedigen dat de FG een goede opleiding volgt. Over een certificering voor opleidingen wordt echter niets gemeld. Wel heeft de Autoriteit Persoonsgegevens een openbaar register voor functionarissen gegevensbescherming waar men zich zelf voor kan aanmelden.

Een aspirant-cursist die een opleiding moet selecteren, kan wel terecht bij het AP voor een duidelijke beschrijving van de functie in de Richtlijnen functionaris voor de gegevensbescherming.

De AP adviseert om bij het kiezen van een opleiding de informatie in deze richtlijnen goed te bestuderen. “Daarin staan elementen die van belang zijn voor het werk van de FG. Let dan op of die in een cursus aan de orde komen.”

Zie ook Beheer op AG Connect Intelligence
6
Reacties
E. Hoffman 31 maart 2017 21:33

Vooruitlopend hierop heb ik in 2016 de IAPP certificering gedaan - CIPP/E en CIPM en in 2017 CIPT.
Dit in combinatie met praktische kennisoverdracht en ervaring is een prima basis bij de implementatie van de AVG.

johan 25 maart 2017 13:36

@westerhof Studie informatierecht (Leiden, Amsterdam, Tilburg, etc) zijn ook geaccrediteerd (alle universtaire studies zijn geaccrediteerd) is een uitstekende basis voor de functie van FG. Een meerderheid van de FGs bij grote organisaties hebben rechten gestudeerd.

De AVG zijn Open Normen, complexiteit zit in de toepassing. Een cursus (geaccrediteerd of niet) draagt zeker bij tot het leren toepassen van die Normen. Het toepassen van die Open Normen vereist meer dan het kennen van de regels.

johan 25 maart 2017 13:36

@westerhof Studie informatierecht (Leiden, Amsterdam, Tilburg, etc) zijn ook geaccrediteerd (alle universtaire studies zijn geaccrediteerd) is een uitstekende basis voor de functie van FG. Een meerderheid van de FGs bij grote organisaties hebben rechten gestudeerd.

De AVG zijn Open Normen, complexiteit zit in de toepassing. Een cursus (geaccrediteerd of niet) draagt zeker bij tot het leren toepassen van die Normen. Het toepassen van die Open Normen vereist meer dan het kennen van de regels.

PJ Westerhof 23 maart 2017 00:59

@Jurgen : vandaar dat ik de IAPP-certificering maar even expliciet noemde, en TSTC impliciet.
Succes met je examen, dat gaat volgens mij helemal goed komen.

Jurgen van der Vlugt 22 maart 2017 15:06

Nou, wie zoekt: Ben beschikbaar als deeltijd-FG...
En ben bezig met CIPP/E, binnenkort examen -- sta namelijk in het midden tussen de uitersten "certificering moet want is bewijs van kennis" versus "liever veel ervaring dan een boekenwijsheid-certificaat"; zie niet waarom NGFG zo nodig weer iets lokaals/Nederlands-provinciaals wil qua 'verplicht' certificaat, is nogal zinloos en Europese-vrijemarktbeperkend op iets wat bij uitstek Europees-breed uniform is! [binnen de marges ja maar die marges zijn kleiner dan ooit]

P.J. Westerhof… 22 maart 2017 12:35

Opnieuw een weinig constructieve houdig van de AP. Dat belooft weinig goeds voor de toekomst. Andere toezichthouders gaan daar anders mee om, o.a. GB en Italië.

Overigens is Europees momenteel alleen de IAPP-certificering van waarde (CIPP/E, CIPP/M).
Daarvoor is in Nederland slechts één geaccrediteerd opleidingsinstituut.

Reactie toevoegen