Markt voor privacy consultancy neemt vlucht door GDPR | AVG

31 oktober 2016 Consultancy.nl 7 min. leestijd

Adviesbureaus en zelfstandige consultants staan erom bekend snel in te springen op nieuwe lucratieve kansen die zich binnen markten voordoen. Zo ging het de afgelopen jaren en ook vandaag de dag liggen er, met digital, cybersecurity, design thinking en ketensamenwerking als enkele actuele trends, genoeg kansen voor consultants. Privacy consultancy is volgens kenners de nieuwste snelle groeibriljant binnen de branche – door de naderende invoering van Europese regelgeving zijn er de komende jaren zeker zo’n 25.000 privacy specialisten nodig om de boel in goede banen te leiden – een groot deel daarvan zal door privacyconsultants worden ingevuld.

Het privacy landschap staat de komende jaren enorme veranderingen te wachten. Een van de grootste veranderingen is de invoering van de zogeheten General Data Protection Regulation (GDPR), ofwel de Algemene Verordening Gegevensbescherming (AVG), een nieuwe Europese wetgeving voor de bescherming van persoonsgegevens en tevens een richtlijn voor politie en justitie inzake gegevensbescherming. Een van de doelstellingen van de AVG is dat er zoveel mogelijk een einde komt aan de verschillen tussen de EU-lidstaten ten aanzien van privacywetgeving.

In tegenstelling tot de oude Richtlijn Bescherming Persoonsgegevens die, zoals de naam aangeeft slechts een richtlijn vormde, is de nieuwe AVG wetgeving een verordening, Bedrijven en overheden krijgen tot 25 mei 2018 de tijd om hun bedrijfsvoering met de AVG in overeenstemming te brengen. Organisaties die tegen die tijd niet voldoen aan de AVG kunnen rekenen op fors hogere boetes dan bij de huidige wetgeving nu het geval is. Boetes kunnen dan oplopen tot wel €20 miljoen of 4% van de wereldwijde jaaromzet van een onderneming.

Algemene Verordening Gegevensverwerking

De nieuwe AVG omhelst – vergeleken met eerdere wetgeving – diverse aanpassingen, vooral op het gebied van aanvullende handhavingsmogelijkheden. Daaronder vallen onder meer de uitbreiding van de categorieën van zogenaamde ‘bijzondere persoonsgegevens’; het verplicht worden van Privacy Impact Assessments (PIAs) bij verwerkingen van persoonsgegevens waarvan te voorzien is dat ze risico’s opleveren en uniformering van sancties en handhaving. Een andere verandering is de invoering van een functionaris gegevensbescherming (Data Privacy Officer), oftewel een interne toezichthouder op de verwerking van persoonsgegevens. Deze is verplicht voor overheidsinstanties alsmede voor bedrijven die op grootschalige wijze zogeheten 'bijzondere gegevens' verwerken zoals gezondheidsgegevens of op stelselmatige wijze het gedrag van grote groepen mensen in kaart brengen.

Miljardenbusiness

In het licht van de komende veranderingen is het privacy vakgebied bezig om uit te groeien tot een miljardenbusiness. Zo becijferde het ministerie van Veiligheid en Justitie dat de nalevingskosten voor het Nederlandse bedrijfsleven zullen toenemen van €73 miljoen in 2015 naar tussen de €1,1 miljard en €1,5 miljard in 2018.

Om ondersteuning te krijgen bij het verhogen van de volwassenheid van hun privacy-operaties zullen organisaties de komende jaren privacy-experts inschakelen, die grofweg bestaan uit drie typen: ICT-juristen, privacy IT’ers en privacy consultants. Volgens Bart Schermer, partner van juridisch adviesbureau Considerati, leidt de explosieve groei in de vraag naar privacy expertise nu al tot een wildgroei aan privacy-adviseurs, laat staan hoe de markt zich tot 2018 gaat ontwikkelen. Vandaag de dag zijn er volgens schattingen tussen de 1.000 en 2.000 privacy-adviseurs werkzaam, met name bij de grote multinationals. Volgens VNO/NCW zijn tot wel 25.000 specialisten nodig* om aan de enorme vraag uit de markt te voldoen en om binnen achttien maanden het gebruik van data in lijn te brengen met de Europese vereisten. Het gat tussen vraag en aanbod is volgens Schermer zo groot dat het tot een goudkoorts onder in-house en externe privacy-adviseurs leidt.
 

Het groot tekort trekt van alle kanten adviseurs aan, die hun kans ruiken. Zo zijn de Big Four kantoren druk bezig met het versterken van hun privacypraktijken, of kopen zij zich bij specialisten in, zoals PwC onlangs deed toen het privacy-adviseur Everett overnam. Voor de grote technologiebureaus zoals Atos, Capgemini, CGI en Accenture ligt privacy-consultancy al jaren dichter bij hun kernactiviteiten. Zij bundelen hun capaciteiten vooral in nieuwe Privacy service lines en ontwikkelen allerlei nieuwe quick-scans of overige privacy diensten. 

Maar ook de middelgrote bureaus, zoals Cmotions, Mitopics en Improven, en tal van boutique specialisten, anticiperen op de aankomende vloedgolf aan opdrachten door bijvoorbeeld hun gelederen uit te breiden of door joint ventures, allianties of overige samenwerkingsverbanden aan te gaan. En steeds vaker ontpoppen nieuwe gespecialiseerde privacy spelers zich in de markt, zoals Privacy Company uit Den Haag, het Utrechtse Privacy Management Partners en Privacy Valley, een bureau uit Amsterdam. Schermer ziet in de praktijk dat dezelfde trend zichtbaar is onder zelfstandige adviseurs (de grootste groep binnen de branche); zij storten zich eveneens massaal op de privacymarkt. 

Vraag naar privacy specialisten neemt toe

Kwaliteit?

Naast het tekort aan privacy professionals, ligt de uitdaging voor de komende periode vooral ook op de kwaliteit van de te leveren diensten. Hoewel adviesbureaus er over het algemeen goed in slagen om een bepaalde mate van kwaliteit te bieden, stelt Schermer – over de hele linie – het gebrek aan expertise op het gebied van privacy ter discussie, en dan vooral de expertise bij zelfstandige adviseurs. “Vaak hebben die zogenoemde experts onvoldoende kennis om bedrijven en organisaties goed te begeleiden”, geeft hij aan. Hij signaleert bovendien dat traditionele consultants steeds vaker (gedeeld) verantwoordelijk worden voor juridische werkzaamheden, aangezien het aanbod van ICT-bedrijfsjuristen volgens hem “nijpend” is.

Daarnaast constateert hij dat een soortgelijke wildgroei aan het ontstaan is binnen het opleidingssegment van privacy. Ook hier omschrijft hij het kennisniveau over de hele linie als twijfelachtig: “Een belangrijk deel van de aanbieders heeft zelf niet genoeg expertise in huis. Een echt goede opleiding kan het tekort aan goed geschoold personeel ondervangen.”

Ervaringen en geleerde lessen uit de ‘Meldplicht Datalekken’** laten zien dat het probleem serieus genomen moet worden en dat er volop werk aan de winkel is. Sinds de invoering van de meldplicht begin dit jaar zijn er reeds vierduizend meldingen binnengekomen bij de Autoriteit Persoonsgegevens, volgens Schermer een duidelijk signaal dat het privacybeleid bij Nederlandse ondernemingen en overheden gebrekkig is. Hij doet een beroep op bedrijven en de overheid om zich zo snel mogelijk op het vraagstuk te storten. Enerzijds leert de praktijk dat data, wanneer goed en correct gebruikt, een potentiële goudmijn vormt, maar anderzijds dat data, wanneer privacy tekortschiet, ook een enorme impact kan hebben op de waarde van een onderneming.

De berekening dateert van voor de definitieve tekst van de AVG. Door de wijzigingen (bijvoorbeeld: het aanstellen van een Data Privacy Officer is nu alleen nog verplicht voor de overheid, maar is voor het bedrijfsleven risk-based geworden) is het in de lijn der verwachting dat de vraag naar privacy specialisten lager zal uitvallen dan de berekende 25.000. Wanneer de VNO-NCW met een update komt is onbekend.

** Vanaf 1 januari 2016 is de Meldplicht Datalekken in werking getreden. Deze meldplicht stelt Nederlandse organisaties verplicht om in het geval van een datalek of wanneer er persoonsgegevens in handen vallen van een derde partij die geen toegang tot die informatie zou moeten hebben, dit voorval direct te melden aan het College Bescherming Persoonsgegevens (CBP). Het CBP heeft de bevoegdheid om bedrijven een boete op te leggen voor hun onzorgvuldig omspringen met persoonlijke of gevoelige data.