De liefhebbers van cryptogrammen hebben dit raadsel misschien al door: ik refereer aan het schaap met de vijf poten. De moderne Privacy Officer heeft het namelijk niet makkelijk: je staat na een bestaan in de coulissen ineens in de spotlights en je hebt met de naderende verordening nog minder dan anderhalf jaar om met je organisatie een ommezwaai te maken van (on)bewust onbekwaam naar (on)bewust bekwaam. Daar heb je volgens mij 5 poten voor nodig. Welke?
De juridische poot
Deze poot kent de relevante eisen en wensen uit de privacy wetgeving en de specifieke wet- en regelgeving rondom de bedrijfsvoering.
De organisatorische poot
Deze kan de eisen en wensen uit de wetgeving vertalen naar invulling in bedrijfsvoeringsprocessen. Daarnaast weet deze poot de privacy organisatie op poten te zetten en geolied te laten lopen.
De technische poot
Deze vertaalt de open normen ten aanzien van passende maatregelen en adequate bescherming naar specifieke technische maatregelen op het gebied van ICT. Deze poot voelt zich comfortabel met termen als LTB, encryptie en anonimisering.
De communicatie poot
Deze poot draagt de omgang met privacy uit aan externe stakeholders (betrokkenen, toezichthouders en andere stakeholders) en aan interne stakeholders (medewerkers, bestuurders).
De veranderingspoot
Deze poot zorgt er voor dat de organisatie tijdig inspeelt op de veranderingen die de nieuwe verordening met zich meebrengt (wennen aan het fenomeen ‘interne toezichthouder’, invoeren Privacy Impact Assessments, Privacy by Design, opstellen register verwerkingen, meldprotocol datalekken).
Maar hoe combineer je dat dan als Privacy Officer? Mijn stelling: een schaap met vijf poten bestaat niet, ook niet als Privacy Officer. Als ik bijvoorbeeld naar mezelf kijk zijn een paar poten behoorlijk ontwikkeld, maar andere poten ook zeker niet. Al met al ben ik prima in staat om voor organisaties de verandering naar de nieuwe verordening te maken, maar voor het vervullen van de zuivere toezichthoudende taken ben ik ongeschikt. Daarentegen heb ik collega’s die minder sterk zijn in de verandering, maar uiterst bekwaam zijn om als een solide Privacy Officer te functioneren.
De persoon die de komende anderhalf jaar een privacy organisatie optuigt is naar mijn idee dan ook een ander persoon dan de persoon die geschikt is om de uiteindelijke rol van Privacy Officer in te vullen. Het is dan ook verstandiger om niet langer het schaap met 5 poten te zoeken, maar beter twee schapen, die samen over de vijf poten beschikken.
Dit is ook de filosofie van ons Privacy Officer As-a-service concept: VKA vervult de rol van Privacy Officer. Dit kan 1 persoon zijn, maar ook meerdere: we zorgen dat alle poten aanwezig zijn op het moment dat een klant deze nodig. Flexibel, schaalbaar en tijdelijk. Is dat niet een wonderlijk schaap?