Met de komst van nieuwe wetgeving, zoals de AI-wet en NIS2, wordt compliance steeds belangrijker. Het takenpakket van de DPO wordt natuurlijk uitgebreid.

AI-wet, DMA, DSA, NIS2… Geconfronteerd met de explosie van wetgeving die de digitale omgeving regelt, zal de reikwijdte van de verantwoordelijkheden van de functionaris voor gegevensbescherming aanzienlijk toenemen, terwijl het probleem van het gebrek aan middelen groot blijft. Dit is de belangrijkste conclusie van een studie over de veranderende rol van de DPO, uitgevoerd bij 254 spelers in 12 landen, waaronder België, door de audit-, belasting- en consultancygroep Grant Thornton.

“Gebruikers evolueren, net als uitdagingen en technologieën. De functionaris voor gegevensbescherming moet daarom regelmatig zijn strategie voor de bescherming van persoonsgegevens aanpassen”, zegt Shariq Arif, hoofd van de afdeling ‘Privacy & gegevensbescherming’ bij Grant Thornton Luxemburg.

Begrijpen hoe algoritmen werken

Via persoonsgegevens zijn we getuige van de samenkomst van technologische, maatschappelijke en gebruiksontwikkelingen die verband houden met de bescherming van rechten en individuen. Sinds de GDPR in mei 2018 van kracht werd, zijn er andere gerelateerde regelgevingen die het gebruik van persoonlijke gegevens moeten reguleren. “Het onderwerp vandaag is hoe we AI-verwerking kunnen inzetten die betrouwbaar, ethisch, inclusief, duurzaam en mensgericht is.”

Het gebruik van AI door bedrijven kan leiden tot het nemen van geautomatiseerde individuele beslissingen, uitsluitend gebaseerd op geautomatiseerde verwerking, met rechtsgevolgen of aanzienlijke gevolgen voor de betrokken personen. Dit zou bijvoorbeeld het geval kunnen zijn met tools voor de voorselectie van sollicitanten, waarbij het gebruik van AI vooroordelen zou bevatten – en dus risico’s op mogelijk discriminerende resultaten, illustreert Shariq Arif. “Als de AI-wet het juridische arsenaal van de GDPR aanvult, zullen functionarissen voor gegevensbescherming meer dan ooit moeten begrijpen hoe AI-systemen werken, wat de implicaties en beperkingen ervan zijn, om de risico’s op het gebied van de bescherming van persoonsgegevens te identificeren en, indien nodig, passende beschermingsmaatregelen te nemen. Hetzelfde geldt voor het begrijpen van de implicaties en beperkingen van AI-systemen, in het bijzonder met betrekking tot de mogelijke vertekeningen die kunnen bestaan en de mogelijkheid van fouten in de resultaten die door AI worden gegenereerd.”

Een expertisegebied in ontwikkeling

Bovendien heeft de AI Act, net als de GDPR, aanzienlijke extraterritoriale gevolgen. De wet breidt zijn jurisdictie uit naar leveranciers die kunstmatige intelligentiesystemen introduceren op de markt van de Europese Unie, ongeacht hun geografische locatie. Bovendien omvat het onderwerp zowel leveranciers als uitvoerders die buiten de Unie zijn gevestigd en wiens AI-systemen binnen de EU worden gebruikt.

Dit brengt ons terug bij de moeilijkheid – die in het onderzoek wordt geïdentificeerd – om technologische innovatie, die praktijken verstoort en optimaliseert, te verzoenen met naleving van de regelgeving en zelfs ethiek,” merkt Shariq Arif op. Kortom, we moeten beschermen zonder ontwikkeling en innovatie in de weg te staan. Een echte uitdaging!

Het is duidelijk dat compliance rond gegevens een iets globaler corpus begint te vormen waarin persoonlijke gegevens worden geïntegreerd met een reeks andere gegevens. Pria Nayagum, hoofd van de afdeling Gegevensbescherming, DPO, Croix Rouge Luxemburg, bevestigt: “De reikwijdte van de functie zal evolueren naar een meer wereldwijde functie. De DPO is de ideale kandidaat om ervoor te zorgen dat alle wetgeving correct wordt geïmplementeerd om persoonsgegevens te beschermen.

De GDPR blijft de basis

Sinds de GDPR van kracht is, is gegevensbeschermingsgovernance een hoeksteen van organisaties geworden. Van controller moet de DPO nu meer een oplosser zijn. En dat betekent dat ze hun vaardigheden moeten uitbreiden, zodat ze de juridische, IT- en commerciële aspecten van hun bedrijf met voldoende competentie kunnen bestrijken.

In deze nieuwe omgeving zal een richtlijn zoals NIS2 waarschijnlijk de functie van functionaris voor gegevensbescherming en de relatie daarvan met beveiliging radicaal veranderen. Aan de ene kant wordt het aantal betrokken organisaties aanzienlijk uitgebreid, waardoor het aantal functionarissen voor gegevensbescherming voor wie werkgevers wettelijke verplichtingen inzake beveiliging zullen hebben, toeneemt (6 activiteitensectoren gereguleerd in de NIS; 23 sectoren in de NIS2!) Bovendien is de richtlijn niet alleen gericht op grote concerns en centrale overheidsdepartementen, maar ook op het mkb, het mkb en alle lokale overheden.

Betrokken raken bij cyberbeveiliging

Met de NIS2-richtlijn zullen DPO’s nieuwe uitdagingen moeten aangaan door meer betrokken te raken bij cyberbeveiligingsbeheer,” merkt Shariq Arif op. Deze ontwikkeling is een stap in de richting van meer aandacht voor de beveiliging van gegevens en informatiesystemen binnen organisaties.

We zien ook dat de banden die de DPO heeft weten te leggen met de CISO essentieel zijn geworden. Voor NIS2 bijvoorbeeld, dat zich bezighoudt met cyberbeveiliging en gegevensbescherming, zullen ze van fundamenteel belang zijn. Samen zullen ze, zoals Grant Thornton in zijn onderzoek opmerkt, de hoofdrolspelers zijn in deze nieuwe reis; ze zullen de kloof overbruggen tussen cyberbeveiliging en vertrouwelijkheid van gegevens, waardoor de algehele compliance-houding wordt verbeterd… en de veerkracht.

Privacy door ontwerp, privacy door standaard

Hier komt het begrip “privacy by design” om de hoek kijken.

Deze proactieve benadering is meer dan naleving van de regelgeving; het betekent een echte culturele en operationele verschuiving voor organisaties. Bij ‘privacy by design’ moet privacybescherming namelijk worden beschouwd als een fundamenteel element en niet als een beperking of een late toevoeging aan het ontwikkelingsproces van producten, diensten of IT-systemen.

Een andere belangrijke pijler van gegevensbescherming is “privacy by default”. Dit is het principe dat standaard alleen persoonlijke gegevens mogen worden verzameld, verwerkt en opgeslagen die strikt noodzakelijk zijn voor elke specifieke functie van een product of dienst. Dit principe heeft ook betrekking op de bewaartermijn, de toegankelijkheid en de transparantie van de gegevensverwerking.

“In deze context is het essentieel dat de DPO – als dirigent van het orkest – vanaf de eerste fasen bij elk nieuw project wordt betrokken. Zo kunnen privacyrisico’s al in de ontwerpfase van een project worden geïdentificeerd en beperkt”, stelt Pria Nayagum.

Omvat alle gegevens

Uiteindelijk komen er drie belangrijke trends uit het onderzoek naar voren.

Eén: meer aandacht voor risico’s als onderdeel van de rol van de DPO, inclusief integratie met risicofuncties binnen het bedrijf en een op risico’s gebaseerde benadering van compliance.

Twee: een verbreding van de reikwijdte van de DPO naar alle gegevens, niet alleen persoonsgegevens, voor een betere afstemming op veranderingen in de regelgeving en de interne structuren van het bedrijf.

En drie, de overgang van de rol van de DPO naar intern projectbeheer, inclusief vertrouwelijkheid door ontwerp, en toezicht op naleving. Deze verandering gaat gepaard met een toenemende technische complexiteit op gebieden als IT en recht.