Opeens heb je het, je wordt functionaris gegevensbescherming

Aangepast
Getty
Geschreven door
Roselien Herderschee
redacteur Binnenland

Hij rolde er eigenlijk min of meer toevallig in. Want nee, het was als 20-jarige niet zijn jongensdroom om functionaris gegevensbescherming te worden, zegt Peter van Es. Toch liet hij zich vorig jaar omscholen tot 'FG'. En met hem vele anderen.

De groei van de beroepsgroep heeft alles te maken met de nieuwe Europese privacywet, die deze week van kracht wordt. Het hebben van een FG wordt dan voor veel organisaties een verplichting. Bij de Autoriteit Persoonsgegevens zijn inmiddels ruim 3000 FG's aangemeld. De toezichthouder verwacht dat er daar nog duizenden bij komen.

Kort gezegd moet de FG erop toezien dat het bedrijf waar hij of zij werkt, de nieuwe privacywet goed naleeft. Het is daarom vooral belangrijk dat hij of zij de sector waar hij werkt goed kent en kan overzien wat privacy daar betekent. De FG van een grote scholenkoepel zal dus niet snel ook te vinden zijn als de FG van een zorgverzekeraar.

Hoe werkt de nieuwe privacywet? We leggen het uit in anderhalve minuut:

Deze browser wordt niet ondersteund voor het spelen van video. Update uw browser naar Internet Explorer 10 of hoger om video af te kunnen spelen.

Hoe werkt de nieuwe Europese privacywet?

"Ik ben vanuit eerdere banen altijd gefascineerd geweest door data", zegt Van Es. Het UWV wees hem in een werkloze periode op een cursus gegevensbescherming. "Het FG-beroep kende ik al wel, maar ik was er nooit eerder actief mee bezig." Na eerst drie maanden theorie, kon hij voor vier maanden leertraject terecht bij een software-bedrijf. Daar kwam vervolgens een vacature voor FG. Van Es kreeg de baan.

Van Es werkt drie dagen in de week. Waar hij zich nu mee bezighoudt? "Het bedrijf is ingericht op de huidige wet die gegevensbescherming regelt. Dus je begint met in kaart brengen: waar zitten de verschillen met wat er straks moet zijn? En als je daar dan toch mee bezig bent is het logisch om alles even op te schudden. Hoe komt de data eigenlijk binnen? Hoe verwerken we het? Hoe zit het met de back-ups die we maken?"

Wat voor procedure hebben we straks, als iemand na 25 mei aanklopt en vraagt: wat voor data hebben jullie van mij?

Peter van Es

Vragen waar ook Carla Aden momenteel druk mee in de weer is. Zij is de functionaris gegevensbescherming van de gemeente Súdwest-Fryslân. Ook Aden, opgeleid tot jurist, rolde min of meer toevallig de privacybescherming in. "Toen de jeugdzorg naar de gemeenten ging, werd privacy een dingetje. Ik vond het een interessant gebied. Er zit een juridische, maar ook ethische kant aan. En het is actueel."

Gemeenten vormen onderdeel van de overheid en moeten daarom een FG hebben. "We werken als gemeente natuurlijk heel veel met bijzondere persoonsgegevens", zegt Aden. In bijeenkomsten praat zij momenteel de 900 werknemers van de gemeente Súdwest-Fryslân bij over de betekenis van privacy. "De kern is: als de burger weet wat je doet, dan zit je goed. Transparant werken dus, eigenlijk heel eenvoudig."

Nieuwe privacywet

De nieuwe, Europese privacywet heet formeel de Algemene Verordening Gegevensbescherming en brengt strengere privacyregels met zich mee. Zo moeten bedrijven meer vastleggen over hoe ze de data van gebruikers en klanten behandelen, en moeten ze zorgvuldiger om toestemming vragen. Ook zijn er hogere boetes: die gaan van 900.000 euro naar maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

Of je nou 20.000 euro betaald hebt voor een opleiding tot FG'er, of dat jij jezelf tot FG'er bestempelt omdat je de wet van A tot Z uit je hoofd geleerd hebt: het maakt de Autoriteit Persoonsgegevens niet zo veel uit. Functionaris gegevensbescherming is geen beschermde titel en de autoriteit stelt vooralsnog geen gecertificeerde opleiding als eis om je te registreren. Die is er op dit moment niet.

Wel is er een richtlijn uitgebracht over de functionaris gegevensbescherming. "Maar het is de verantwoordelijkheid van een organisatie zelf om een FG aan te stellen met de juiste competenties", zegt een woordvoerder. "Wij gaan wel kijken naar de kwaliteit van de FG en naar de manier waarop zij binnen de organisatie in staat worden gesteld hun werk te kunnen doen".

Groeiende beroepsvereniging

Het ontbreken van functie-eisen maakt de FG-opleidingsbranche een aantrekkelijke, zo leert een zoekopdracht naar het huidige cursusaanbod. "Help, ik ben Functionaris Gegevensbescherming, wat nu?", op die vraag heeft menig advocaten- of consultancybureau wel een antwoord met bijbehorend prijskaartje klaarliggen. Variërend van kort tot lang, de keuze aan verschillende type FG-scholingen is groot.

De beroepsvereniging van FG's worstelt met dat grote en gevarieerde aanbod, zegt bestuurslid Aramis Jean Pierre. De vereniging bestaat al sinds 2001. Toen deed het FG-beroep zijn intrede, gelijktijdig met de huidige wet die gegevensbescherming regelt. Maar de aanstaande Europese wet zorgt voor een duidelijke leden-boost. Het ledenaantal steeg de afgelopen vier maanden van 200 naar 600.

Geen voorkeursbehandeling

Een van de meest gestelde vragen aan de beroepsvereniging is momenteel: welke opleiding raden jullie aan? "Maar daar doen we op dit moment geen uitspraken over", zegt Jean Pierre. Want door als beroepsvereniging een voorkeur uit te spreken, plakken wij daar eigenlijk al een soort certificaat op. Terwijl er op dit moment geen officiële certificatie is."

Daar zit de vereniging toenemend mee in de maag. "Hoewel er nu ook commerciële aanbieders tussen zitten die heel gedegen opleidingen bieden, willen we heel graag dat er ook een gecertificeerde opleiding komt. Om zo de kwaliteit te kunnen waarborgen", zegt Jean Pierre.

Op dit moment voert de beroepsvereniging daarom allerlei oriënterende gesprekken, zowel met onderwijsinstellingen als met de Autoriteit Persoonsgegevens, om te bespreken of er een gecertificeerde opleiding kan komen. Maar voor 25 mei wordt dat zeker niet.