Het jaar 2023 is alweer even gestart, maar op de valreep van 2022 heeft The International Association of Privacy Professionals (hierna: IAPP) in samenwerking met EY een Privacy Governance Report 2022 opgesteld. Om tot deze rapportage te komen, is een enquête naar ruim 700 IAPP-leden verspreid over 44 landen gestuurd. Onze consultant Sanne Heuijerjans zet de belangrijkste informatie uit dit rapport voor je op een rijtje.
Het rapport gaat in op de manier waarop organisaties worden bestuurd en op de vraag hoe een functie met betrekking tot privacy er tegenwoordig uit moet zien. Dit onderzoek speelt zich af tegen de achtergrond van de veranderingen als gevolg van het coronavirus, waardoor organisaties anders met zowel klanten als werknemers om moeten gaan. Daarnaast zijn er continu ontwikkelingen op het gebied van privacyrecht. Technologie ontwikkelt zich vliegensvlug, steeds meer zaken worden gedigitaliseerd en er ontstaan voortdurend nieuwe privacyregels. Niet te vergeten personen zoals jij en je buren, die steeds beter op de hoogte zijn van rechten met betrekking tot privacy en organisaties actief bevragen over hoe zij persoonsgegevens verwerken. Dit vraagt ook om actief en transparant delen van de processen vanuit organisaties aan jou als betrokkene.
De hoeveelheid gegevens die in welke vorm dan ook wordt gebruikt, is in vergelijking met 2010 bijna 50 keer zo groot. Privacyfunctionarissen moeten in een hoog tempo de wereldwijde steeds veranderende wet- en regelgeving bijhouden. Dit is een grote uitdaging.
Vanwege deze snelle ontwikkelingen is het van belang de aanpak en werkwijze over privacy van een organisatie af te stemmen op die specifieke organisatie. Opvallend is dat 13% van de respondenten aangeeft helemaal geen privacybeleid te hebben of een privacybeleid te hebben dat totaal niet aansluit op de aanpak van de organisatie. In de overheidssector heeft zelfs ruim een vijfde van de organisaties geen privacybeleid. Naast het hebben van een privacybeleid, dient dit beleid, mede vanwege de veranderende wet- en regelgeving, regelmatig bijgewerkt te worden. De meeste organisaties updaten hun privacybeleid inmiddels ook minimaal jaarlijks.
Heeft jouw organisatie het privacybeleid al een keer geüpdatet sinds de inwerkingtreding van de AVG in 2018?!
Vanwege de razendsnelle (technologische) ontwikkelingen, neemt de omvang van privacyteams van organisaties toe, het afgelopen jaar gemiddeld met zelfs 12 procent, een enorme groei! Dit betekent namelijk dat het aantal privacyfunctionarissen ten opzichte van vorig jaar met duizenden is gestegen.
Het aantal privacydeskundigen binnen een organisatie stijgt onder andere naarmate de omzet stijgt. De verhouding tussen de omzet en het aantal privacydeskundigen is per sector ongeveer gelijk. Het grootst bekende interne privacyteam bestond uit meer dan 400 medewerkers en het grootst bekende externe privacyteam uit meer dan 150 medewerkers.
In onder andere de gezondheidszorg, bij banken en verzekeraars en retail is het aantal privacyfunctionarissen het hardst gestegen. Privacyteams in de onderwijs- en non-profitsector zijn, vergeleken met teams van andere sectoren, iets minder hard gegroeid. Bij bedrijven uit de productiesector is het privacyteam gemiddeld maar één procent gestegen, maar bedrijven in deze sector hebben vergeleken met bedrijven in andere sectoren al twee keer zoveel privacydeskundigen in dienst.
De verwachting is dat het aantal privacydeskundigen blijft groeien. Het investeren in privacyteams is niet (meer) enkel gericht op bijvoorbeeld het voorkomen van boetes of proceskosten.
Organisaties zien de noodzaak en het belang van privacy steeds meer in en investeren in personeel, processen en technologie om te voldoen aan wet- en regelgeving over privacy en gegevensbescherming. Deze investering wordt gezien als een meerwaarde voor de onderneming. De gemiddelde privacybudgetten laten dat ook zien.
De vraag naar privacydeskundigen met veel verschillende vaardigheden lijkt ook steeds groter te worden om bovenstaande doelen te kunnen bewerkstelligen. Het vinden van deze deskundigen is echter een grote opgave.
De AVG is al bijna vijf jaar geleden in werking getreden, maar tot op heden geven organisaties aan door de beperkte beschikbaarheid van gevraagde privacydeskundigen doelstellingen lastiger te kunnen realiseren. Onder andere deze toenemende vraag aan zogenaamde ‘multi-skilled professionals’ maakt dat organisaties regelmatig een beroep doen op externe deskundigen.
Privacydeskundigen krijgen steeds meer verantwoordelijkheden en het aantal verschillende taken groeit. Er lag en ligt nog steeds prioriteit bij de governance van een organisatie waar privacydeskundigen een grote rol in spelen en tegelijkertijd wordt er veel prioriteit gegeven aan onder andere (D)PIA’s (Data Protection Impact Assessments/Privacy Impact Assessments). Dit zijn analyses van gegevensverwerkingen die binnen een proces plaatsvinden en de risico’s die aan deze gegevensverwerkingen verbonden zijn.
Daarnaast is er veel behoefte naar expertise op het gebied van risicobeheer, compliance en het nemen van privacymaatregelen in die specifieke organisatie. Kortom, er wordt steeds meer van een privacyfunctionaris verwacht!
De meest populaire afdeling voor de privacydeskundigen was en is nog steeds de juridische afdeling, al is er wel een daling te zien ten opzichte van vorig jaar. Juridische kennis is als privacydeskundige essentieel, omdat je niet enkel te maken hebt met de AVG en UAVG, maar ook met sectorspecifieke wetgeving. Binnen welke afdeling een privacydeskundige naar mijn mening zou moeten werken, lijkt mij afhankelijk van de specifieke functie van de privacydeskundige. Denk bijvoorbeeld aan een functie als functionaris gegevensbescherming of privacy officer binnen een bepaalde afdeling van de organisatie.
Over het algemeen werken privacydeskundigen minder vaak onder de afdeling juridische zaken naarmate de omzet stijgt. Een uitleg hiervoor kan de multidisciplinaire focus die van een privacyfunctionaris wordt verwacht, zijn.
Toch heeft privacy heeft naast de algemene aspecten zoals naleving van de regelgeving en juridische risico’s die hiermee gepaard gaan, betrekking op meerdere domeinen. Van de bedrijven in de educatie-, non-profit- en overheidssector vestigt een vijfde hun privacyteam binnen de afdeling informatiebeveiliging. Bij ruim een derde van de organisaties met een omzet van meer dan 60 miljard dollar werkt de meest senior privacyfunctionaris op directieniveau of één niveau daaronder.
Voor een solide inrichting qua privacy, is de governance voor een organisatie van groot belang. We kunnen concluderen dat privacyteams de afgelopen jaren zijn gegroeid en naar verwachting zullen blijven groeien. Het takenpakket van privacydeskundigen wordt namelijk steeds breder en er wordt steeds meer specifieke kennis van een privacydeskundige verwacht.
De focus van werkzaamheden van privacydeskundigen lijkt in het algemeen steeds meer op compliance te liggen. Het is dan ook sterk afhankelijk van de organisatie binnen welke afdeling het privacyteam werkzaam is. Onder andere door het steeds bredere takenpakket en de beperkte beschikbaarheid van privacydeskundigen is de invulling van deze functies voor organisaties een grote uitdaging.
Heeft jouw organisatie op dit gebied nog ondersteuning nodig? Onze pragmatische, creatieve en betrouwbare professionals staan voor je klaar.
Reduce Risk, Create Value!