Complianceprofessionals zijn te mager: dit is wat er moet veranderen
Privacy en gegevensbescherming zijn met de komst van de AVG in 2018 in het mainstream bewustzijn gekatapulteerd. Sindsdien hebben consumenten meer eisen gesteld aan de organisaties waarmee ze zaken doen – in de manier waarop ze omgaan met hun persoonlijke informatie, omgaan met verzoeken om toegang en verwijdering/overdracht, en toestemming verkrijgen. De uitdaging voor organisaties is dat juist in een tijd waarin ze meer complianceprofessionals nodig hebben om de toegenomen werkdruk te helpen beheren, er minder beschikbaar zijn.
Twee nieuwe onderzoeken illustreren de omvang van de uitdaging. Deskundigen zijn van mening dat verbeterde trainingsprogramma's van cruciaal belang zullen zijn, en dat geautomatiseerde tools ook kunnen helpen een aantal hardnekkige lacunes in vaardigheden op te vullen.
Wat is het probleem?
Het eerste slechte nieuws komt van e-learningaanbieder Skillcast. De firma schattingen dat één enkele complianceprofessional verantwoordelijk zou kunnen zijn voor de gegevens van ruim 14,300 mensen en bedrijven. De berekeningen zijn gebaseerd op LinkedIn-gegevens over complianceprofessionals en schattingen van de omvang van het gemiddelde personeelsbestand en klantenbestand van FTSE 250-bedrijven. Als dit klopt, wijst dit op een ernstig tekort aan bekwame professionals in de sector.
Verdere bevestiging komt van IT-governanceorgaan ISACA. De helft (48%) van de respondenten van de beroepsvereniging heeft onlangs gepubliceerd Privacy in de praktijk 2024 rapport claim dat er steeds meer vraag is naar naleving van de privacywetgeving en juridische functies. Nog meer organisaties (55%) zeggen dat er meer technische privacyrollen nodig zijn voor organisaties. Ervaring met verschillende soorten technologieën en/of toepassingen wordt door een meerderheid (65%) zelfs genoemd als de grootste kloof in vaardigheden. Een gebrek aan competente middelen wordt door ruim twee vijfde (43%) van de organisaties genoemd als een van de belangrijkste obstakels voor het opzetten van een privacyprogramma.
Financiering is ook duidelijk een probleem: 41% zegt dat hun programma ondergefinancierd is en slechts 42% beweert dat hun programma voldoende gefinancierd is. ISACA's Chief Global Strategy Officer, Chris Dimitriadis, vertelt ISMS.online dat financieringstekorten erop wijzen dat privacy geen prioriteit is voor organisaties.
“Dat wil niet zeggen dat ze het niet belangrijk vinden. In plaats daarvan zien ze misschien niet hoe privacy hen helpt de doelstellingen van hun organisatie te bereiken, vooral omdat de resultaten niet noodzakelijkerwijs tastbaar zijn”, vervolgt hij.
“Maar dit is misleidend. Hoewel het vooraf uitgaven vergt, zal het geven van prioriteit aan privacy bedrijven in staat stellen hun gegevens te beschermen, waardoor het vertrouwen bij de consument wordt opgebouwd en de relaties met leveranciers behouden blijven – wat allemaal bijdraagt aan de bedrijfsgroei.”
Omgekeerd kunnen vaardigheidstekorten ernstige gevolgen hebben voor het vermogen van organisaties om de nalevingsrisico's op het gebied van privacy en gegevensbescherming effectief te beheren. Slechts een derde (36%) van de ondervraagden beweert dat ze het gemakkelijk vinden om hun privacyverplichtingen te begrijpen. En minder dan de helft (45%) zegt “zeer of volledig vertrouwen” te hebben in het vermogen van hun privacyteam om naleving van nieuwe wet- en regelgeving te bewerkstelligen.
Hoe kunnen organisaties de lacunes in de vaardigheden in de sector aanpakken?
De uitdaging is dat de vraag naar vaardigheden op het gebied van privacy-compliance alleen maar zal groeien.
“De combinatie van snelle vooruitgang in digitale technologieën met voortdurende veranderingen in de regelgeving zorgt ervoor dat bedrijven voortdurend een inhaalslag maken. Zelfs als de regelgeving niet verandert, als een digitaal ecosysteem dat wel doet, kan de interpretatie van de wet ten opzichte van de bijzonderheden van een opkomende technologie als AI anders zijn”, betoogt Dimitriadis.
“Bedrijven kunnen het zich niet veroorloven nieuwe regelgeving te overtreden of reputatieschade te riskeren. De vraag naar technische en compliance-vaardigheden zal alleen maar toenemen naarmate consumenten en bedrijven de organisaties waarmee zij willen communiceren steeds kritischer gaan onderzoeken op basis van hun benadering van gegevensprivacy.”
Dus wat is de oplossing? Organisaties hebben verschillende opties:
Focus op overdraagbare vaardigheden
Uit het rapport van ISACA blijkt dat eerdere juridische of compliance-ervaring voor 97% van de respondenten de belangrijkste wervingsfactor is, gevolgd door eerdere praktijkervaring in een privacyfunctie (92%). Maar door zich op deze kwaliteiten te concentreren, riskeren werkgevers het kandidatenbestand te verkleinen, betoogt Dimitriadis.
“Werkgevers moeten een sprong in het diepe maken en erkennen dat mensen over waardevolle, overdraagbare vaardigheden beschikken – en het is de moeite waard om iemand vanaf een instapniveau op te leiden, of zelfs iemand uit een andere branche om te scholen”, voegt hij eraan toe.
Bestaande medewerkers omscholen
Op een vergelijkbare manier zouden organisaties bestaande medewerkers kunnen omscholen die momenteel misschien niet op het gebied van privacy-compliance werken, maar wel over overdraagbare vaardigheden beschikken die de leercurve voor hen zouden afvlakken. Volgens ISACA biedt ruim de helft (52%) van de ondervraagde organisaties momenteel training aan om niet-privacypersoneel de kans te geven om over te stappen naar privacyfuncties.
Maak gebruik van externe adviseurs
ISACA zegt dat 39% van de organisaties meer gebruik heeft gemaakt van contractmedewerkers of externe consultants. Hoewel duur en soms een noodmaatregel, kan het de organisatie ademruimte geven en hen helpen aan hun complianceverplichtingen te voldoen en tegelijkertijd een strategie voor de langere termijn te formuleren.
Maak beter gebruik van AI en automatisering
Het goede nieuws is dat compliance-tools steeds vaker worden geleverd met ingebakken intelligentie. De beste zijn ontworpen om processen te stroomlijnen die ooit een zware handmatige last voor werknemers waren. Dat kan beperkte interne middelen vrijmaken om zich te concentreren op werk met een hogere waarde en/of nieuwe medewerkers in staat stellen snel aan de slag te gaan.
“Er was veel activiteit op het gebied van data compliance rond de introductie van de AVG. Veel consultants hebben zich voor deze gelegenheid bekwaamd. Het lijkt er nu op dat mensen verder zijn gegaan, wat heeft geresulteerd in tekorten op het gebied van de naleving van gegevensbescherming”, vertelt Skillcast-CEO Vivek Dodd aan ISMS.online.
“Organisaties moeten hun geschoolde werknemers optimaal benutten door de delegatie en productiviteit te verbeteren. Beide kunnen worden bereikt door meer gebruik te maken van softwaretools en AI om het toezicht op de naleving te vergemakkelijken.”
Dimitriadis van ISACA is het daar tot op zekere hoogte mee eens.
“AI is in staat bepaalde privacyproblemen op te lossen en het werk dat mensen doen te verbeteren, bijvoorbeeld door patronen te identificeren die onzichtbaar zijn voor mensen en daar in realtime op te reageren”, besluit hij.
“Het kan echter geen menselijke werknemers vervangen, maar het kan wel een deel van de druk verlichten waarmee privacyteams worden geconfronteerd. Er zullen altijd getrainde medewerkers nodig zijn om ervoor te zorgen dat AI correct en veilig wordt gebruikt, getraind en geconfigureerd.”
