Zelfs na vele jaren sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) in Brazilië blijven veel bedrijven de regelgeving niet naleven. De LGPD, die in september 2020 in werking trad, is opgericht met het doel de persoonlijke gegevens van Braziliaanse burgers te beschermen en duidelijke regels vast te stellen over hoe bedrijven deze informatie moeten verzamelen, opslaan en verwerken. Echter, ondanks de verstreken tijd, hebben veel bedrijven weinig vooruitgang geboekt bij de implementatie van de norm.
Onlangs heeft de Nationale Autoriteit voor Gegevensbescherming (ANPD) de controle op bedrijven zonder een functionaris voor gegevensbescherming, ook wel bekend als Data Protection Officer (DPO), versterkt. Het ontbreken van een Functionaris voor Gegevensbescherming (FG) is een van de belangrijkste overtredingen die worden vastgesteld, aangezien deze professional essentieel is om ervoor te zorgen dat het bedrijf voldoet aan de AVG. De DPO fungeert als tussenpersoon tussen het bedrijf, de gegevensverantwoordelijken en de ANPD, en is verantwoordelijk voor het toezicht houden op de naleving van het gegevensbeschermingsbeleid en het adviseren van de organisatie over de beste praktijken.
En deze gegevens kunnen slechts het topje van de ijsberg zijn. In werkelijkheid weet niemand hoeveel bedrijven nog niet aan de norm voldoen. Er is geen enkele officiële enquête die de exacte cijfers van alle bedrijven die niet voldoen aan de LGPD consolideert. Onafhankelijke onderzoeken wijzen uit dat het percentage over het algemeen kan variëren tussen 60% en 70% van de Braziliaanse bedrijven, vooral onder kleine en middelgrote ondernemingen. In het geval van de grote, is het percentage nog hoger, tot wel 80%.
Waarom het ontbreken van een DPO een verschil maakt
In 2024 heeft Brazilië waarschijnlijk het aantal van 700 miljoen cyberaanvallen door cybercriminelen overschreden. Er wordt geschat dat er bijna 1.400 aanvallen per minuut plaatsvinden en natuurlijk zijn de bedrijven de belangrijkste doelwitten van de criminelen. Misdrijven zoals ransomware – waarbij gegevens meestal "gijzelen" worden en bedrijven een enorm geldbedrag moeten betalen om te voorkomen dat ze online worden gepubliceerd – zijn gebruikelijk geworden. Maar hoelang zullen het systeem – de slachtoffers en de verzekeraars – nog het enorme aantal aanvallen verdragen?
Het is niet mogelijk om deze vraag op een juiste manier te beantwoorden, vooral niet wanneer de slachtoffers zelf de nodige maatregelen ter bescherming van de informatie niet nemen. Het ontbreken van een professional die zich richt op gegevensbescherming of, in sommige gevallen, wanneer de vermeende verantwoordelijke voor het gebied zoveel taken combineert dat hij deze activiteit niet op een bevredigende manier kan uitvoeren, verergert deze situatie nog meer.
Het aanwijzen van een verantwoordelijke lost op zich niet alle nalevingsuitdagingen op, maar toont aan dat het bedrijf zich inzet om een reeks praktijken te structureren die in overeenstemming zijn met de LGPD. Echter, dit gebrek aan prioriteit uit zich niet alleen in de mogelijkheid van sancties, maar ook in echte veiligheidsrisico's die aanzienlijke schade zullen veroorzaken. De boetes die door de ANPD worden opgelegd, vormen slechts een deel van het probleem, aangezien de immateriële verliezen, zoals het vertrouwen van de markt, nog pijnlijker kunnen zijn. In dit kader wordt strengere controle gezien als een noodzakelijke maatregel om de nalevingsmechanismen van de wetgeving te versterken en organisaties aan te moedigen de privacy van de betrokkenen op de agenda te zetten.
Een DPO inhuren of uitbesteden?
Het inhuren van een functionaris voor gegevensbescherming (DPO) op fulltime basis kan een lastige taak zijn, omdat er niet altijd vraag of interesse is om interne middelen voor deze taak in te zetten.
In die zin wordt outsourcing aangewezen als een oplossing voor bedrijven die de wetgeving effectief willen naleven, maar niet beschikken over een grote structuur of middelen om een multidisciplinair team te onderhouden dat zich richt op gegevensbescherming. Wanneer een gespecialiseerde dienstverlener wordt ingeschakeld, krijgt het bedrijf toegang tot professionals met meer ervaring in het omgaan met de vereisten van de LGPD in verschillende sectoren van de markt. Bovendien begint het bedrijf, met een externe verantwoordelijke, gegevensbescherming te zien als een geïntegreerd onderdeel van de strategie, in plaats van een incidenteel probleem dat alleen aandacht krijgt wanneer er een melding binnenkomt of wanneer er een datalek plaatsvindt.
Dit draagt bij aan het creëren van robuuste processen zonder dat er een grote investering nodig is in werving, training en behoud van talent. Het uitbesteden van de gegevensbeheerder gaat verder dan alleen het aanstellen van een externe persoon. De dienstverlener biedt doorgaand advies, voert risicobeoordelingen en -analyses uit, helpt bij het opstellen van interne beleidslijnen, geeft trainingen aan de teams en volgt de evolutie van de wetgeving en de normen van de ANPD.
Bovendien is er het voordeel van het beschikken over een team dat al ervaring heeft met praktische gevallen, wat de leercurve verkort en helpt incidenten te voorkomen die boetes of reputatieschade kunnen veroorzaken.
Tot waar reikt de verantwoordelijkheid van de externe DPO
Het is belangrijk op te merken dat uitbesteding de organisatie niet vrijwaart van haar wettelijke verantwoordelijkheden. Het idee is dat het bedrijf de verplichting blijft nakomen om de veiligheid van de gegevens die het verzamelt en verwerkt te waarborgen, omdat de Braziliaanse wetgeving duidelijk maakt dat de verantwoordelijkheid voor incidenten niet alleen bij de verantwoordelijke ligt, maar bij de hele organisatie.
Wat outsourcing doet, is het bieden van professionele ondersteuning die de benodigde wegen begrijpt om de organisatie in overeenstemming met de LGPD te houden. Het delegeren van dit soort taken aan een externe partner wordt al in andere landen toegepast, waar gegevensbescherming een kritisch punt is geworden voor risicobeheer en corporate governance. De Europese Unie, bijvoorbeeld, met de Algemene Verordening Gegevensbescherming, vereist dat veel bedrijven een functionaris voor gegevensbescherming aanstellen. Daar hebben verschillende bedrijven gekozen voor het uitbesteden van de dienst door gespecialiseerde adviesbureaus in te huren, wat deexpertisebinnen het huis, zonder een hele afdeling daarvoor op te zetten
De verantwoordelijke moet volgens de wetgeving de autonomie hebben om gebreken te melden en verbeteringen voor te stellen, en een deel van de internationale richtlijnen suggereert dat de professional vrij moet zijn van interne druk die zijn controlevermogen beperkt. De adviesbureaus die deze dienst aanbieden, ontwikkelen contracten en werkmethoden die dit soort onafhankelijkheid waarborgen, terwijl ze een transparante communicatie met de managers handhaven en duidelijke governance-criteria vaststellen.
Dit mechanisme beschermt zowel het bedrijf als de professional zelf, die de vrijheid moet hebben om kwetsbaarheden aan te wijzen, zelfs als dit indruist tegen gevestigde praktijken binnen een bepaalde sector of afdeling.
De intensivering van de controle door de ANPD is een teken dat de tolerantiepositie plaatsmaakt voor een meer vastberaden houding, en wie ervoor kiest om dit probleem nu niet aan te pakken, kan in de nabije toekomst zwaardere gevolgen ondervinden.
Voor bedrijven die op zoek zijn naar een veiligere weg, is outsourcing een keuze die kosten, efficiëntie en betrouwbaarheid in balans kan brengen. Met dit soort samenwerking is het mogelijk om hiaten in de interne omgeving te corrigeren en een compliance-routine op te zetten die het bedrijf zal beschermen tegen sancties en de risico's die gepaard gaan met gebrek aan transparantie en veiligheid met betrekking tot de persoonsgegevens die onder zijn verantwoordelijkheid vallen.
