Dataskyddsförordningen fastslagen

75 000 dataskyddsombud sökes

Studier har visat att det kommer finnas ett massivt behov av dataskyddsombud (DPO:er) i Europa och i övriga delar av världen. Inom EU och USA så uppskattas det behövas minst 28 000, och globalt 75 000 dataskyddsombud. En studie av Imperva visar att vart femte företag fortfarande inte har tillsatt rollen och att hälften av dessa företag inte planerar att göra detta förens tidigast under det andra halvåret av 2018.

Kraven/rekommendationerna som ställs för ett dataskyddsombud är ganska omfattande så att finna dessa 75 000 kommer nog utgöra en viss utmaning för många organisationer. Om vi tittar på vad lagen i sig efterfrågar i rollen så ska dataskyddsombudet ha:

  • Expert kompetens gällande dataskyddslagar i allmänhet, och GDPR:en i synnerhet, samt deras tillämpningar
  • God kännedom om branschen som denne verkar i
  • God kännedom om de informationsbehandlingar som sker
  • God kännedom IT-system, informationssäkerhet och dataskyddsbehov

Lagen öppnar dock upp för att dataskyddsombudet inte måste vara anställd inom den egna organisationen utan kan tas in utifrån. IAPP (The International Association of Privacy Professionals) har i en bloggpost kommit med ett förslag på intervjufrågor man bör ställa sin tilltänkta DPO. Tittar vi igenom dessa frågor (nedan återfinns ett urval som är fritt översatta från originaltexten, som återfinns här) så inser man fort att rollen som dataskyddsombud kräver en hel del:

  • Hur många år har du arbetat med integritetslagar, dataskydd och informationssäkerhet?
  • Hur många år har du arbetat med följande områden: Informationssäkerhetsgranskningar, IT-infrastruktur, datahantering, riskhantering och mjukvaruprogramering?
  • Vilka relevanta utbildningar samt certifieringar besitter du?
  • Vilka professionella grupperingar relaterat till dataskydd är du medlem av?
  • Vilka riskbedömningsmetodiker skulle du använda som dataskyddsombud och varför?
  • Vilka typer av organisationer och projekt har du vart med och lett?
  • I vilka länder har du verkat professionellt?
  • Hur håller du dig underrättad om de senaste trenderna inom teknologi och lag?
  • Hur ser du att du kommer att behålla ditt oberoende samtidigt som du arbetar nära vår organisation?
  • Till vilken grad kommer du behöva förlita dig på ditt företags kunskap, erfarenhet och förmåga för att stötta dig i denna rollen?
  • Vilka specifika områden har du utbildat i och verkat för att öka medvetenheten om?
  • Vilken relation har du till Datainspektionen?
  • Hur bekant är du med vår industri, dess teknologier och processer?
  • Vilka är de tre första aktiviteterna du skulle göra i rollen som dataskyddsombud hos oss?

Helt klart är att dagarna då organisationer bara utsåg ett personuppgiftsombud bland personalen, är över i samband med GDPR:en och dataskyddsombuds-rollens intågande. Dataskyddsombudet kommer att bli en nyckelspelare för all verksamhet som på ett eller annat sätt behandlar personuppgifter. Kombinationen av juridisk sakkunnighet och IT-kompetens, med stor tyngd på informationssäkerhet, ställer höga krav på rollen och kontinuerlig vidareutbildning kommer vara ett måste.

Ända sedan vi för flera år sedan började föreläsa om den kommande lagen så har vi rekommenderat företag och myndigheter att så snart som möjligt börja söka efter lämpliga personer för att kunna fylla rollen. Denna rekommendation kvarstår, om än något mer brådskande nu! Det kommer att ta tid för ett dataskyddsombud att sätta sig in i alla detaljer som krävs och att få igång de processer som måste finnas på plats inom organisationen och dess olika kontaktytor med omvärlden.

Med vänliga hälsningar,

Mats Hultgren
IT Strategist and Information Security Advisor at Addlevel with engagements ranging from implementation of strategic security frameworks to strategic governance of IT-services. mats.hultgren@addlevel.se