Privacy officer: coach op de werkvloer

Hoe groot is de privacyformatie van gemeenten, SSC’s en veiligheidsregio’s? Hoe doen we het ten opzichte van andere gemeenten? We voelen ons onderbezet, kunnen we dat ondersteunen met cijfers vanuit de markt? Deze vragen krijgen wij steeds vaker van overheidsorganisaties. Daarom besloten wij een uitvraag te doen naar de privacyformatie onder 39 gemeenten, vijf veiligheidsregio’s en vijf SSC’s. Wij nemen je aankomende tijd in drie artikelen mee in de resultaten. 

Dit artikel gaat over de functie en formatie van privacy officer. Wat houdt de functie van privacy officer eigenlijk in? Wat is de ideale formatie voor de privacy officer? En waar wordt de privacy officer gepositioneerd? 

De rol en taken van de privacy officer

De privacy officer ondersteunt een organisatie met het voldoen aan de privacy-verplichtingen (zoals vastgesteld in de wet en in eigen beleid). De privacy officer is het aanspreekpunt voor de organisatie, heeft direct contact met vakafdelingen, wordt betrokken bij projecten, beheert en onderhoudt een aantal privacy-documenten en begeleidt DPIA’s. De privacy officer is een functie die bestaat naast die van de functionaris gegevensbescherming. De privacy officer gaat uitvoerend te werk en de functionaris gegevensbescherming richt zich op de (wettelijk vastgestelde) toezichthoudende rol. 

De privacy officer is geen verplichte functie (terwijl de functionaris gegevensbescherming dat voor overheidsinstanties wel is). Door een privacy officer aan te stellen kan de functionaris gegevensbescherming zich zuiver richten op de toezichthoudende taken. De privacy officer slaat een brug tussen bedrijfsvoering en business en de privacy-doelen en -plichten van een organisatie. 

De taken van de privacy officer zijn over het algemeen vaak als volgt:

• de privacy officer ondersteunt de gebruikersorganisatie bij vragen, haakt aan bij projecten en bij overleggen;
• de privacy officer is het eerste aanspreekpunt op het gebied van privacy door medewerkers;
• de privacy officer stelt beleidsdocumenten op, zoals het privacybeleid, de privacyverklaring(en), verwerkingsregister, procedures rondom bijvoorbeeld datalekken en DPIA’s;
• de privacy officer zorgt ervoor dat deze document bijgehouden worden;
• de privacy officer reageert op datalekken en zet deze door naar de functionaris gegevensbescherming;
• de privacy officer ondersteunt bij de uitvoer van DPIA’s. Bij organisaties met een lager volwassenheidsniveau zal deze ondersteuning intensiever zijn en zal de privacy officer in sommige gevallen de DPIA zelf uitvoeren.

De formatie van de privacy officer

Maar welke formatie heeft een overheidsorganisatie nodig? Wij hebben een uitvraag gedaan naar de privacyformatie onder 39 gemeenten, 5 veiligheidsregio’s en 5 SSC’s-dienstverleners. We bespreken hier de cijfers die uit ons onderzoek kwamen, met aanvullingen vanuit onze eigen ervaringen. 

Wat valt op?

• Kleine gemeenten, middelgrote gemeenten en veiligheidsregio’s geven aan voldoende privacy officer capaciteit te hebben om de werkzaamheden mee uit te voeren. Middelgrote gemeenten geven wel aan dat een grote formatie voor de privacy officer gewenst is.
• Kleine gemeenten zijn het meest tevreden.
• Grote gemeenten en SSC’s geven aan fors onvoldoende formatie te hebben voor de privacy officer-functie om de taken goed uit te voeren*.
• SSC’s hebben diverse behoeften aan de privacy officer. De meeste SSC’s geven aan behoefte te hebben aan een lager minimumaantal privacy officers dan gemeenten. Vaak vangen SSC’s veel technische zaken af die dichter liggen tegen de informatiebeveiliging en liggen er meer privacytaken bij de deelnemende gemeenten. Daardoor kan de SSC met een kleinere formatie privacy officer werken. Een aantal SSC’s vangt ook (een deel van) de privacyzaken af voor gemeenten. Deze SSC’s hebben juist behoefte aan een maximale formatie die hoger ligt dan bij gemeenten.

*Mogelijk hebben grote gemeenten vaker andere medewerkers die taken van de privacy officer overnemen, zoals een medewerker juridische zaken of een informatiemanager. Hierdoor kan een vertekend beeld van de privacyformatie ontstaan: we hebben immers alleen de formatie van de privacy officer uitgevraagd. 

Wat is de ideale formatie voor de privacy officer?

De ideale formatie wisselt tussen de 1,7 en 2,7 fte per 100.000 inwoners. Een formatie van minder dan 1,7 fte per 100.000 inwoners is onvoldoende om de dagelijkse taken uit te voeren en structurele verbeteringen door te voeren (opstellen en bijhouden van procedures en beleidsstukken). Het definitief aantal fte hangt af van een aantal zaken.

• Wat is de positionering van de privacy officer?
• Hoe volwassen is de organisatie? Hoe meer volwassen de organisatie, hoe minder de privacy officer zelf hoeft te doen en hoe meer die in een begeleidende en ondersteunende rol terecht kan komen.
• Huur je een privacy officer in, of haal je deze in huis?

Waar wordt de privacy officer gepositioneerd binnen de organisatie?

Lijnverantwoordelijkheid

Eerste lijn
Zorgt voor de bescherming en signalering in dagelijkse operatie.
Verantwoordelijk voor het inroepen van de 2e lijn voor ondersteuning. 
Verantwoordelijkheid bij operationeel management.

Tweede lijn
Ondersteuning, beleidvorming en begeleiding van de dagelijkse operatie in het mitigeren en voorkomen van risico’s.
Verantwoordelijkheid bij stafmanagement.

Derde lijn
Interne en externe audit uitvoering.
Bestuurlijke verantwoordelijkheid.

Het three lines of defence model helpt bij een goede positionering van de privacy officer. De drie verdedigingslijnen in dit model staan voor de drie verschillende ‘lagen’ in de organisatie die betrokken zijn bij het beschermen van de organisatie tegen kwetsbaarheden.

1. De eerste lijn bestaat uit alle medewerkers. Zij zijn de oren en ogen van de organisatie. Hun taak is het op tijd schakelen van de tweede lijn bij vragen en potentiële kwetsbaarheden. Daarnaast moeten zij goed opgeleid zijn om deze kwetsbaarheden ook te herkennen door bijvoorbeeld trainingen en andere bewustwording.
2. De tweede lijn bestaat uit de dagelijkse operatie van privacy. Hier zit vaak de privacy officer gepositioneerd, die kennis en expertise in brengt. De privacy officer kan meedenken met de organisatie en ondersteunt en begeleid deze waar nodig. Daarnaast brengen zij kennis en expertise in en zorgen ze dat risico’s worden herkend en gemitigeerd.
3. De derde lijn draagt de bestuurlijke verantwoordelijkheid en houdt toezicht op een adequate vormgeving van privacy. De functionaris gegevensbescherming bevindt zich in de derde lijn.

De logische plaats voor de privacy officer is dus tussen de lijnorganisatie en de toezichthouder in. De privacy officer heeft meer privacy-expertise dan de lijnorganisatie en wordt gecontroleerd door de functionaris gegevensbescherming. De functionaris gegevensbescherming heeft een meer juridische inslag en de privacy officer dient pragmatisch te zijn.

Waar de rol van privacy officer precies wordt belegd kan verschillen. Logische plekken zijn bij de informatievoorzienings-/informatiemanagementafdeling of bij de afdeling kwaliteit. Het belangrijkste is dat de privacy officer duidelijk in de tweede lijn wordt geplaatst, en dus niet in een toezichthoudende rol wordt gezet of juist in de dagelijkse operatie terechtkomt.

We raden af om de privacy officer bij een ICT-afdeling te plaatsen, omdat de ervaring is dat dit het frame versterkt dat privacy “een ICT-feestje” is. Privacy is breder dan dat en raakt de gehele organisatie. Het gaat niet om de technische oplossingen, maar om vraagstukken als “wanneer mogen we deze gegevens verwerken?”, en “hoe gaan we op een verantwoorde manier met deze gevoelige data om?”.

Soms zien we ook privacy officers met een focus op bepaalde aandachtsgebieden, zoals het sociaal of fysiek domein. Dit is handig, zodat zij ook de benodigde wetgeving beter kunnen bestuderen. Wel is de positionering van deze privacy officers als team fijn, zodat zij ook elkaars achtervang kunnen zijn.

De zichtbaarheid van de privacy officer

Naast de formatie en de positionering van de privacy officer is vooral de zichtbaarheid van de privacy officer belangrijk. De privacy officer heeft één missie: zorgen dat privacybescherming een integraal onderdeel is van ieders verantwoordelijkheid. De privacy offiver verbindt de eerste en de derde lijn met elkaar door de eerste lijn mee te nemen in het belang van privacy en de toepassing daarvan op de werkvloer. Alleen zo komt privacy terug in alle werkzaamheden van het personeel.

De privacy officer laat zich zien, gaat het veld in en gaat het gesprek aan met medewerkers. Wat vinden zij belangrijk? Waar lopen zij tegenaan? Hoe worden ze het best geholpen? De privacy officer is dus geen medewerker die vanuit een bedrijfsvoeringspositie beleidsstukken schrijft en oplegt aan de business.

Dat betekent dat een privacy officer pragmatisch moet zijn. De ervaring leert dat “nee” zeggen, vaak een omgekeerd effect heeft: in plaats van dat medewerkers iets niet meer doen, doen ze het stiekem of op een nog onveiligere manier dan eerst. Een goede privacy officer denkt mee, zoekt naar oplossingen en kijkt wat er binnen de kaders mogelijk is.

Volwassenheid van de organisatie

Onze ervaring is dat, onafhankelijk van de grootte van de gemeente, SSC of veiligheidsregio, één persoon parttime of fulltime in dienst is als privacy officer. Bij een organisatie met een hoger volwassenheidsniveau, waarbij privacy goed opgepakt wordt door de business, is dit, afhankelijk van de grootte, ook vaak voldoende: de privacy officer heeft dan een aansturende en adviserende rol, en is minder betrokken bij de dagdagelijkse uitvoering. 

Voor organisaties met een lager volwassenheidsniveau is dit vaak echter te weinig. Als organisaties nog geen duidelijk privacybeleid hebben, er procedures ontbreken en het bewustwordingsniveau laag is, zit de privacy officer dichter op de uitvoering. In de praktijk zie je dan dat waar volwassen overheidsorganisaties DPIA’s door de privacy officer laten aansturen, minder volwassen organisaties de privacy officer vragen voor de uitvoering ervan. Hiermee hebben we direct een belangrijke uitdaging te pakken: om door te groeien naar een hoger volwassenheidsniveau, moet een organisatie de privacy officer meer tijd laten besteden aan het formaliseren van de privacyorganisatie; maar door het lage volwassenheidsniveau is diens tijd vaak gevuld met ad hoc vragen en -acties.

Privacy officer: inhuren of zelf doen?

Zeker met de huidige krapte op de arbeidsmarkt wordt het steeds aantrekkelijker om een privacy officer in te huren via een advies- of juridisch bureau of om een ZZP’er in te huren. Dit heeft voor- en nadelen.

Interne privacy officer

• moet kennisborging in de tijd van de organisatie doen;
• kent de organisatie door en door, heeft daardoor korte lijnen;
• blijft gemiddeld langer bij de organisatie, kan dus het aanspreekpunt worden van de lijn;
• afspraken rondom tijd, taken en verantwoordelijkheden moeten nog gemaakt worden.

Externe privacy officer:

• moet kennisborging in de eigen tijd doen, heeft vaak al meer ervaring;
• is vaak tijdelijk, kan goed ingezet worden voor incidentele zaken, zoals het opstellen van documenten of procedures of ter opleiding of achtervang van de interne privacy officer;
• afspraken rondom tijd zijn duidelijk, afspraken rondom taken en verantwoordelijkheden moeten nog gemaakt worden. 

Een oproep

De term privacy is soms beladen. Tegelijkertijd delen medewerkers hierover een gezamenlijke visie: zij willen goede dienstverlening leveren aan burgers, waarbij de burgers kunnen vertrouwen dat de organisatie zorgvuldig met hun gegevens omgaat. Vanuit daar kan de privacy officer verder werken aan een hoger volwassenheidsniveau in privacy dat door de gehele organisatie gedragen wordt. De privacy officer is pas echt van toegevoegde waarde als die erin slaagt de dagelijkse werkzaamheden te verbinden met de visie en normen en waarden van een overheidsorganisatie. En dat kan alleen door met de voeten in de klei te staan en actief mee te denken met de organisatie.